Перейти к содержанию
аналитика 18 февраля 2027 По состоянию на 18 февраля 2027

Электронный журнал в школе

Электронный журнал — информационная система, обрабатывающая персональные данные несовершеннолетних: ФИО учеников, сведения об успеваемости, посещаемости, состоянии здоровья при заполнении листков нетрудоспособности. Это специальные категории ПДн по ст. 10 ФЗ-152 с особым режимом обработки.
С 30.05.2025 штраф за утечку данных более 100 000 субъектов — от 10 до 15 млн ₽ по ч. 14 ст. 13.11 КоАП. При повторном инциденте действует оборотный штраф до 500 млн ₽ по ч. 15. Большинство школ обрабатывают данные тысяч учеников и их родителей без надлежащего правового оформления.
Если вы юрист образовательной организации — проверьте, на каком основании подключён журнал, есть ли согласия родителей и уведомление в реестре РКН. → Разбираем пошагово.

Электронный журнал в школе — один из наиболее уязвимых участков с точки зрения соответствия 152-ФЗ. Система фиксирует оценки, пропуски, замечания, данные о здоровье учеников и обрабатывает сведения о законных представителях. При этом большинство образовательных организаций либо не уведомили Роскомнадзор об обработке ПДн через такую систему, либо работают без отдельных согласий родителей, либо используют платформы с серверами за рубежом. В 2025 году РКН зафиксировал более 30 инцидентов в первом полугодии; сфера образования входит в число приоритетных для проверок.

Какие персональные данные обрабатывает электронный журнал в школе?

Электронный школьный журнал — это информационная система персональных данных (ИСПДн). В ней обрабатываются данные как минимум трёх категорий субъектов: учеников, их родителей (законных представителей) и педагогов.

Данные учеников включают ФИО, дату рождения, класс, успеваемость, посещаемость, сведения о пропусках по болезни. Последние при определённых условиях квалифицируются как данные о состоянии здоровья — специальные категории ПДн по ст. 10 ФЗ-152. Обработка специальных категорий допускается только при наличии одного из оснований п. 2 ст. 10: письменного согласия субъекта или его законного представителя, либо иного прямого указания закона.

Данные родителей — ФИО, контактный телефон, email — используются для уведомлений об успеваемости и посещаемости. Согласие на рассылку через мессенджеры или SMS требует отдельного правового основания. Данные педагогов обрабатываются в рамках трудовых отношений по ст. 86–88 ТК РФ, однако объём обработки через внешний сервис-журнал выходит за рамки трудового договора и требует поручения обработки по п. 3 ст. 6 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку сведений о состоянии здоровья по общему правилу. Исключение — письменное согласие субъекта или его законного представителя (п. 2 ч. 2 ст. 10 ФЗ-152). Для несовершеннолетних до 18 лет согласие дают родители или опекуны.»

ПДн несовершеннолетних находятся под повышенной защитой. По общему правилу ст. 9 ФЗ-152 согласие на обработку ПДн лица, не достигшего 14 лет, даёт законный представитель. Подросток от 14 до 18 лет вправе дать согласие самостоятельно. С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется как отдельный документ — его нельзя включать в устав, договор с родителями или правила школы.

Есть сомнения в законности подключения журнала?

Если юрист школы не уверен, на каком основании обрабатываются данные учеников через электронный журнал — это сигнал к немедленной проверке. По ч. 1 ст. 13.11 КоАП обработка ПДн в случаях, не предусмотренных законом, влечёт штраф до 300 000 ₽. Нарушение требований к согласию — до 700 000 ₽ по ч. 2 ст. 13.11. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие требования 152-ФЗ нарушают образовательные организации при работе с электронным журналом?

Типичные нарушения делятся на три группы: документационные, технические и процедурные.

Документационные нарушения. Отсутствие или ненадлежащее оформление согласий родителей — наиболее распространённая проблема. Нередко согласие вписано в договор об образовании или в анкету при зачислении, что с 01.09.2025 прямо нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Отсутствие политики обработки ПДн на сайте школы образует самостоятельный состав по ч. 3 ст. 13.11 КоАП — штраф 30 000–60 000 ₽. Не назначен ответственный за обработку ПДн по ст. 22.1 ФЗ-152 — распространённая ситуация в муниципальных школах.

Технические нарушения. Отечественные платформы типа «Дневник.ру», «Сетевой город», «Электронная школа» размещают данные на серверах в России — это соответствует требованию локализации по ч. 5 ст. 18 ФЗ-152. Однако если школа подключила Google Classroom, Microsoft Teams или иной зарубежный сервис без надлежащего уведомления РКН о трансграничной передаче — это нарушение ст. 12 ФЗ-152. Штраф за нарушение локализации по ч. 8 ст. 13.11 КоАП составляет от 1 до 6 млн ₽.

Процедурные нарушения. Отсутствие договора поручения обработки ПДн с оператором журнала — системная проблема. Образовательная организация выступает оператором ПДн; платформа электронного журнала — лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Без письменного поручения обработка данных через платформу незаконна. Ответственность перед субъектами при этом сохраняется за школой.

«Ч. 5 ст. 18 ФЗ-152 обязывает операторов обеспечивать запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ исключительно с использованием баз данных, находящихся на территории РФ. Нарушение — штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП.»

Как правильно оформить согласие родителей на обработку ПДн через электронный журнал?

С 01.09.2025 требования к согласию изменились: ФЗ-156 от 24.06.2025 ввёл обязанность оформлять согласие отдельным документом. Включать согласие в договор об оказании образовательных услуг, в заявление о зачислении или в правила школы — нарушение.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта (для несовершеннолетнего до 14 лет — ФИО законного представителя и самого ребёнка), контактные данные, наименование и адрес школы как оператора, цель обработки (ведение электронного журнала, уведомление о результатах обучения), перечень обрабатываемых данных, перечень действий с ПДн, срок действия согласия, порядок его отзыва.

Для данных о здоровье (пропуски по болезни, справки) требуется отдельное согласие — специальные категории ПДн по ст. 10 ФЗ-152 не объединяются в одном согласии с общими данными об успеваемости. Это означает, что школа должна получать как минимум два отдельных согласия от каждого родителя: одно — на общие данные (оценки, расписание), второе — на данные о здоровье.

Согласие на обработку ПДн в целях распространения — отправка фото с мероприятий в родительские чаты, публикация на сайте — оформляется ещё одним отдельным документом по ст. 10.1 ФЗ-152. По умолчанию отсутствие такого согласия означает запрет на распространение.

Что подготовить юристу образовательной организации

  • Уведомление о намерении обрабатывать ПДн через систему электронного журнала — подача через pd.rkn.gov.ru с УКЭП до начала обработки (ст. 22 ФЗ-152).
  • Отдельные согласия родителей (законных представителей) по ст. 9 ФЗ-152 в редакции ФЗ-156 — для общих ПДн и специально — для данных о здоровье по ст. 10.
  • Договор поручения обработки ПДн с оператором платформы электронного журнала по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий и требованиями к защите.
  • Политика обработки персональных данных, опубликованная на официальном сайте школы (ч. 2 ст. 18.1 ФЗ-152).
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с описанием его полномочий.

Если юрист школы получил запрос от родителя об уничтожении данных ребёнка или запрос РКН о предоставлении документов — у вас 10 рабочих дней на ответ по ст. 20 ФЗ-152. Без надлежащего ОРД ответить в срок невозможно. Юристы DATUM соберут полный пакет документов под ключ.

Собрать ОРД под ключ

Прокторинг и онлайн-образование: что меняется с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль за сдачей экзаменов — использует видеосъёмку, запись экрана, анализ поведения учеников в режиме реального времени. С точки зрения 152-ФЗ это обработка биометрических ПДн: изображение лица при идентификации подпадает под ст. 11 ФЗ-152. Обработка биометрии требует письменного согласия субъекта (или законного представителя), нарушение — штраф по ч. 16 ст. 13.11 КоАП.

ЕГЭ проводится по отдельным правилам, установленным Рособрнадзором и Минпросвещения: видеозапись экзаменационных аудиторий регулируется отдельными подзаконными актами и не требует согласия в обычном порядке. Однако онлайн-школы и частные образовательные платформы, использующие прокторинг для своих курсов, обязаны получить письменное согласие родителей (для несовершеннолетних) и вправе применять только сертифицированные системы с хранением биометрии в соответствии с требованиями безопасности.

Google Classroom и аналогичные зарубежные платформы обрабатывают данные учеников на серверах за пределами России. Использование таких сервисов без уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152 нарушает требования локализации. На практике МОУ и государственные школы, как правило, не подают такие уведомления, что создаёт основание для штрафа по ч. 8 ст. 13.11 КоАП.

Как применяется ответственность на практике: типичные сценарии

Сценарий 1. Школа не уведомила РКН об обработке ПДн через электронный журнал. Муниципальная образовательная организация подключила региональный электронный журнал без подачи уведомления по ст. 22 ФЗ-152. В ходе внеплановой проверки РКН установил факт отсутствия в реестре операторов ПДн. Доказательная база — сам факт отсутствия уведомления. Вероятный исход — штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽. Стратегия: немедленно подать уведомление, представить доказательства принятия мер — суд вправе учесть устранение нарушения как смягчающее обстоятельство по ст. 4.1 КоАП.

Сценарий 2. Утечка данных учеников через взлом платформы электронного журнала. Частная онлайн-школа использовала стороннюю платформу без договора поручения. После хакерской атаки данные более 5 000 учеников и их родителей оказались в открытом доступе. У школы не было первичного уведомления РКН об утечке в течение 24 часов — нарушение ч. 3.1 ст. 21 ФЗ-152. Итог: штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽ за неуведомление плюс штраф по ч. 12 за утечку 1 000–10 000 субъектов от 3 до 5 млн ₽. Стратегия: наладить процесс реагирования на инциденты заранее; заключить договор поручения с оператором журнала с обязанностью информировать о нарушениях безопасности.

Сценарий 3. Согласия родителей включены в договор об образовании. По результатам проверки по жалобе родителя РКН установил, что согласие на обработку ПДн ребёнка вписано в типовой договор об оказании образовательных услуг — отдельного документа нет. С 01.09.2025 это прямо нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Вероятный исход — штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽ за обработку без согласия в надлежащей форме. Стратегия: переоформить согласия до начала учебного года; для действующих договоров — получить отдельные подписанные документы.

Кейс из практики. Образовательная организация (Сибирский ФО, начало 2026 года) прошла внеплановую проверку РКН после жалобы родителей на публикацию данных учеников в открытом доступе через сервис электронного дневника. Выявлено три нарушения: отсутствие отдельных согласий, отсутствие договора поручения с оператором платформы, отсутствие политики на сайте. Общая сумма штрафов составила сотни тысяч рублей. После представления доказательств устранения нарушений и заключения договора поручения арбитражный суд снизил штраф, опираясь на ст. 4.1 КоАП. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Публичный прецедент. В деле об утечке данных более 100 000 субъектов (кейс case_S1_rosh — Российская электронная школа, АС Москвы, дело № А40-351064/2025) суд квалифицировал нарушение по ч. 14 ст. 13.11 КоАП с потенциальным штрафом 10–15 млн ₽. Благодаря статусу микропредприятия штраф был снижен до 400 000 ₽ по правилам расчёта для ИП. Кейс показывает: даже государственные образовательные платформы с большой базой ПДн несут ответственность по новым нормам.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка ИСПДн школы по 38 критериям, включая договоры поручения и согласия родителей.
  • Комплект ОРД под ключ — политика, согласия, приказы, договоры поручения для образовательной организации.
  • DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы родителей.

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка в электронном журнале?

Согласие законного представителя требуется при обработке ПДн несовершеннолетнего до 14 лет во всех случаях, когда нет иного правового основания по ст. 6 ФЗ-152. Для электронного журнала закон об образовании не устанавливает прямого разрешения на обработку без согласия, поэтому согласие обязательно. С 01.09.2025 оно оформляется отдельным документом (ФЗ-156). Для данных о здоровье требуется дополнительное согласие по ст. 10 ФЗ-152.

2. Можно ли использовать Google Classroom в школе без нарушения 152-ФЗ?

Использование Google Classroom предполагает передачу ПДн на серверы за пределами России, что нарушает требование локализации по ч. 5 ст. 18 ФЗ-152 и требует уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Штраф за нарушение локализации — от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП. Безопасная альтернатива — платформы с серверами в России: «Дневник.ру», «Сетевой город», региональные государственные системы.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг использует видеосъёмку лица ученика для идентификации при сдаче экзамена. Изображение лица в целях идентификации — биометрические ПДн по ст. 11 ФЗ-152. Их обработка допускается только с письменного согласия субъекта (для несовершеннолетних — законного представителя). Без согласия обработка биометрии при прокторинге нарушает ст. 11 ФЗ-152 и влечёт штраф по ч. 16 ст. 13.11 КоАП. ЕГЭ в государственных аудиториях регулируется отдельными подзаконными актами.

4. Кто является оператором ПДн в онлайн-школе?

Оператором ПДн является онлайн-школа как юридическое лицо (или ИП), которое самостоятельно или совместно с другими лицами организует обработку ПДн учеников. Платформа, на которой размещён контент или проводятся занятия, выступает лицом, осуществляющим обработку по поручению оператора. Без письменного договора поручения по п. 3 ст. 6 ФЗ-152 онлайн-школа несёт полную ответственность за все нарушения при обработке ПДн через платформу.

5. Что грозит школе за утечку персональных данных учеников?

Ответственность зависит от числа затронутых субъектов. Утечка данных от 1 000 до 10 000 учеников — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Утечка данных 10 000–100 000 субъектов — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно: штраф 1–3 млн ₽ по ч. 11 за неуведомление РКН об утечке в течение 24 часов. При повторном инциденте — оборотный штраф по ч. 15 до 500 млн ₽.

Итог

Электронный журнал в школе — это полноценная ИСПДн, обрабатывающая ПДн несовершеннолетних, их родителей и педагогов, включая специальные категории. Требования 152-ФЗ применяются в полном объёме: уведомление РКН, отдельные согласия родителей по новым правилам ФЗ-156, договор поручения с оператором платформы, локализация данных. Штрафы по ст. 13.11 КоАП в редакции с 30.05.2025 делают несоответствие экономически невыгодным: цена аудита и ОРД многократно меньше минимального штрафа за утечку.

Юристы DATUM сопровождают образовательные организации по полному спектру требований 152-ФЗ: от аудита ИСПДн до оформления согласий родителей и договоров поручения с операторами журналов. Опыт работы с EdTech и государственными школами с 2014 года.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ x 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.