аналитика 19 февраля 2027 По состоянию на 19 февраля 2027

Гид по 152-ФЗ для директоров школ

Образовательная организация — оператор персональных данных учеников, родителей и работников. Обязанности те же, что у бизнеса, санкции — по ст. 13.11 КоАП в редакции с 30.05.2025.

За утечку данных от 1 000 субъектов школа платит от 3 млн ₽ по ч. 12 ст. 13.11 КоАП. Проверки Роскомнадзора в сфере образования участились: в 2024 году зафиксировано более 135 инцидентов с ПДн в государственном секторе.

Если вы юрист образовательной организации и не уверены, все ли требования ФЗ-152 выполнены — разберём обязанности оператора, спорные точки и практику проверок РКН. → Аудит соответствия 152-ФЗ

С 30.05.2025 штрафы по ст. 13.11 КоАП выросли кратно: за повторную утечку предусмотрен оборотный штраф до 500 млн ₽. Школы и колледжи обрабатывают данные несовершеннолетних — специальную категорию по смыслу правоприменительной практики. Этот гид по 152-ФЗ для директоров школ структурирует обязательства оператора: от реестра РКН до прокторинга и использования облачных сервисов типа Дневник.ру.

Какие ПДн обрабатывает образовательная организация и почему это важно?

Школа собирает данные нескольких категорий субъектов. Ученики — несовершеннолетние, что определяет особый порядок получения согласий. Родители и законные представители — субъекты, чьи данные передаются при записи, в электронном журнале, при оформлении льгот. Работники — отдельная категория с обработкой через кадровый учёт, КЭДО и зарплатные проекты.

Перечень данных, которые обрабатывает типичная школа: ФИО учащегося, дата рождения, место жительства, сведения о здоровье (медсправка, льготное питание), СНИЛС, данные родителей, сведения об успеваемости, фотоматериалы. Медицинские сведения и данные о льготах — специальные категории ПДн по ст. 10 ФЗ-152. Их обработка допустима только при наличии явного согласия либо в случаях, прямо предусмотренных законом.

«Ст. 10 ФЗ-152: специальные категории ПДн — сведения о состоянии здоровья, национальной принадлежности, религиозных убеждениях. Обработка по общему правилу запрещена, кроме случаев, перечисленных в ч. 2 ст. 10. Для школы актуальны: согласие субъекта (п. 1) и обработка в рамках медицинской деятельности (п. 4).»

Фотографии учеников на сайте, в социальных сетях школы, в системах видеонаблюдения — биометрические ПДн по ст. 11 ФЗ-152. Для публикации требуется письменное согласие родителя или самого ученика (при достижении им дееспособности). Съёмка на выпускном и размещение в открытом доступе без согласия — основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽ для юридического лица).

Когда нужно согласие родителей и как его правильно оформить?

С 01.09.2025 вступили в силу изменения ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн оформляется отдельным документом. Его нельзя включать в текст договора об оказании образовательных услуг, заявления о приёме или анкеты. Это требование касается всех операторов — включая образовательные организации.

Согласие законного представителя несовершеннолетнего должно содержать обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта (ребёнка) и представителя, наименование оператора (школы), конкретную цель обработки, перечень данных, перечень действий с ними, срок действия и способ отзыва. Одно согласие на «все возможные цели» — не соответствует требованиям. Для каждой самостоятельной цели нужен отдельный документ или отдельный раздел с отдельной подписью.

«Ст. 9 ФЗ-152 (ред. с 01.09.2025, ФЗ-156): согласие — отдельный документ, не объединяется с договором, офертой или иным документом. Реквизиты: наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва, подпись. Согласие, включённое в заявление о приёме, с 01.09.2025 не отвечает требованиям закона.»

Ст. 9 ч. 6 ФЗ-152 устанавливает: если субъект признан недееспособным или является несовершеннолетним, согласие даёт законный представитель. По достижении ребёнком 14 лет практика складывается в пользу параллельного получения согласия самого ученика (несмотря на то, что общий порог дееспособности — 18 лет), поскольку ряд прав субъекта ПДн тесно связан с личными неимущественными правами, которые ребёнок может реализовывать самостоятельно.

Согласия родителей оформлены до 01.09.2025 — нужно ли их переделывать?

С 01.09.2025 согласие должно быть отдельным документом. Если у школы согласия встроены в договор или заявление о приёме — это нарушение ч. 2 ст. 13.11 КоАП. Штраф для юридического лица: 300 000 — 700 000 ₽. При повторном нарушении — 1 000 000 — 1 500 000 ₽ по ч. 2.1. Юристы DATUM соберут пакет согласий по новым требованиям и проверят всю документацию ОРД образовательной организации.

Заказать аудит 152-ФЗ

+7 (383) 310-38-76 · info@vitveteam.ru · Telegram

Электронный журнал, Дневник.ру и ЕГЭ: кто несёт ответственность оператора?

Школа, подключившая сторонний сервис (электронный журнал, платформу дистанционного обучения, систему прокторинга), остаётся оператором ПДн учеников и родителей. Сервис-провайдер работает как лицо, осуществляющее обработку по поручению оператора, в соответствии с п. 3 ст. 6 ФЗ-152. Отсутствие письменного договора-поручения между школой и провайдером — нарушение, выявляемое при проверке РКН.

Дневник.ру, РЭШ (Российская электронная школа) и аналогичные системы — российские платформы, данные хранятся на серверах в РФ. Требование локализации по ч. 5 ст. 18 ФЗ-152 для них формально выполняется. Однако школа обязана: заключить договор-поручение, убедиться, что провайдер не передаёт данные третьим лицам без основания, и указать провайдера в уведомлении в реестре РКН как лицо, осуществляющее обработку.

Google Classroom, Microsoft Teams и другие зарубежные сервисы — трансграничная передача ПДн по ст. 12 ФЗ-152. До начала использования школа обязана уведомить РКН по установленной форме. При передаче в страну, не входящую в перечень стран с адекватной защитой, — дополнительные обязательства: оценка достаточности защиты, соглашение с обработчиком. Использование Google Classroom без уведомления РКН — основание для штрафа по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽).

Прокторинг — отдельный правовой вопрос. Системы онлайн-наблюдения при сдаче ЕГЭ или ОГЭ в дистанционном формате собирают биометрические данные (изображение лица, запись голоса), данные об окружении, поведенческие паттерны. По ст. 11 ФЗ-152 это биометрические ПДн. Основание для их обработки — письменное согласие. При прокторинге несовершеннолетних согласие даёт законный представитель.

«Ст. 11 ФЗ-152: биометрические ПДн — физиологические и биологические особенности, используемые для установления личности. Обработка — только с письменного согласия. Прокторинг, включающий видеозапись лица учащегося, требует отдельного письменного согласия законного представителя несовершеннолетнего.»

Что нужно подготовить: организационно-распорядительная документация школы

Минимальный пакет ОРД для образовательной организации

Уведомление в реестр операторов РКН (pd.rkn.gov.ru) — до начала обработки ПДн; при изменении состава обрабатываемых данных — обновление по ст. 22 ФЗ-152
Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте школы в открытом доступе
Отдельные согласия родителей (законных представителей) на каждую цель: обработка в электронном журнале, публикация фото, передача данных в медицинские организации, использование платформ дистанционного обучения
Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152
Договоры-поручения с провайдерами электронных сервисов (электронный журнал, СДО, прокторинг) по п. 3 ст. 6 ФЗ-152

Помимо перечисленного, школа должна вести журнал учёта обращений субъектов ПДн — запросов на доступ к данным, на уточнение, блокирование или уничтожение. Ответ субъекту предоставляется в течение 10 рабочих дней с даты обращения (ст. 20 ФЗ-152), с возможностью продления ещё на 5 рабочих дней при уведомлении субъекта. Отсутствие ответа в срок — штраф по ч. 4 ст. 13.11 КоАП (40 000 — 80 000 ₽).

Если юрист школы проверяет комплаенс и нашёл пробелы в ОРД — время до следующей плановой проверки РКН уже идёт. Полный пакет из 38 документов под образовательную организацию: от политики до договоров-поручений с провайдерами.

Собрать ОРД под ключ

Как выглядят типовые ситуации нарушений в образовательных организациях?

Ситуация 1. Согласия включены в договор об образовательных услугах. Родитель при записи ребёнка подписывает стандартный договор, в котором встроен пункт о согласии на обработку ПДн. С 01.09.2025 это нарушение ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. РКН при плановой или внеплановой проверке запросит документы и обнаружит несоответствие. Вероятный исход — протокол по ч. 2 ст. 13.11 КоАП, штраф 300 000 — 700 000 ₽. Стратегия: до проверки переоформить согласия как отдельные документы; хранить доказательства даты подписания.

Ситуация 2. Школа использует зарубежный сервис видеоконференций без уведомления РКН о трансграничной передаче. Урок проводится в Zoom или Google Meet — данные участников (ФИО, изображение) передаются на серверы за рубежом. По ст. 12 ФЗ-152 требуется предварительное уведомление РКН. Его нет. При проверке, инициированной жалобой родителя, РКН составляет протокол по ч. 1 ст. 13.11 КоАП (150 000 — 300 000 ₽). Стратегия: перейти на российские аналоги либо подать уведомление о трансграничной передаче и заключить соглашение с обработчиком.

Ситуация 3. Утечка через взлом электронного журнала. Провайдер электронного журнала подвергся кибератаке. Данные учеников и родителей (ФИО, контакты, сведения об успеваемости) оказались в открытом доступе. Школа — оператор — несёт ответственность, даже если виновен провайдер: принцип ответственности оператора за действия обработчика закреплён судебной практикой. Школа обязана уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152). Через 72 часа — отчёт о результатах внутреннего расследования по Приказу РКН №187. Пропуск срока — штраф 1 000 000 — 3 000 000 ₽ по ч. 11 ст. 13.11 КоАП. Если затронуто более 100 000 субъектов — дополнительно штраф по ч. 14 ст. 13.11 КоАП (10 000 000 — 15 000 000 ₽).

Какие штрафы грозят школе и кто несёт персональную ответственность?

С 30.05.2025 ст. 13.11 КоАП включает 18 частей. Для образовательных организаций наиболее актуальны следующие составы:

ч. 1 — обработка без правового основания или несовместимая с заявленными целями: 150 000 — 300 000 ₽
ч. 2 — отсутствие согласия или нарушение требований к его составу: 300 000 — 700 000 ₽
ч. 3 — отсутствие политики обработки ПДн на сайте: 30 000 — 60 000 ₽
ч. 11 — несвоевременное уведомление РКН об утечке (нарушение 24-часового срока): 1 000 000 — 3 000 000 ₽
ч. 12–14 — утечка от 1 000 субъектов: от 3 000 000 до 15 000 000 ₽ в зависимости от масштаба
ч. 15 — повторная утечка (оборотный штраф): 1–3% совокупной годовой выручки, не менее 20 000 000 ₽, не более 500 000 000 ₽

Директор школы как должностное лицо несёт административную ответственность отдельно от организации. Штрафы для должностных лиц по ч. 2 ст. 13.11 КоАП — до 30 000 ₽; при повторном нарушении — выше. С 11.12.2024 действует ст. 272.1 УК РФ (ФЗ-421): незаконные использование, передача или хранение компьютерной информации с персональными данными грозит лишением свободы до 10 лет по ч. 5 при тяжких последствиях. Для директора, причастного к умышленной утечке или передаче данных учеников, это реальный уголовный риск.

Дела о нарушениях ст. 13.11 КоАП с 28.12.2025 рассматривают мировые судьи (ФЗ-508 от 28.12.2025). Государственные образовательные учреждения в статусе микропредприятия или СМП при первичном нарушении могут претендовать на замену штрафа предупреждением по ст. 4.1.1 КоАП. Это не работает для оборотных составов (ч. 15 и ч. 18).

Кейс 1. В деле о проверке образовательной организации (Центральный ФО, первая половина 2026 года) при плановой проверке РКН обнаружил отсутствие договора-поручения с провайдером электронного журнала и согласия родителей, встроенные в заявления о приёме. Против организации составлены протоколы по ч. 1 и ч. 2 ст. 13.11 КоАП. Юристы, привлечённые на стадии рассмотрения дела, добились назначения минимальных штрафов по каждому составу: итоговая нагрузка составила несколько сотен тысяч рублей вместо прогнозируемого максимума. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. В деле об утечке данных учащихся через взломанный сервер электронного дневника (Приволжский ФО, осень 2025 года) школа уведомила РКН в течение 20 часов с момента обнаружения инцидента и представила отчёт через 68 часов. Своевременность уведомления была учтена при рассмотрении дела: штраф по ч. 12 ст. 13.11 КоАП назначен ближе к минимальному значению диапазона (около 3 млн ₽). Школа, не уведомившая РКН в аналогичной ситуации, заплатила бы дополнительно 1 000 000 — 3 000 000 ₽ по ч. 11. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех обязательств образовательного оператора, отчёт с планом
Комплект ОРД под ключ — политика, согласия, приказы, договоры-поручения для школы
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя несовершеннолетнего требуется при любой обработке ПДн ребёнка, не основанной на законе или договоре. Это публикация фото, передача данных в медицинские организации сверх требований ФЗ-323, использование внешних платформ (СДО, прокторинг), видеонаблюдение. С 01.09.2025 согласие оформляется отдельным документом — не встраивается в заявление о приёме или договор об образовательных услугах (ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025).

2. Можно ли использовать Google Classroom?

Формально — можно, при выполнении ряда условий. Google Classroom передаёт данные на серверы за рубежом, что квалифицируется как трансграничная передача по ст. 12 ФЗ-152. До начала использования школа обязана уведомить РКН в установленном порядке. Если данные российских граждан при этом не хранятся первично в российских базах — нарушается ч. 5 ст. 18 ФЗ-152 о локализации. На практике большинство школ переходят на российские аналоги, чтобы исключить регуляторный риск.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль за прохождением экзамена с записью изображения лица, голоса и экрана. Изображение лица и голос подпадают под определение биометрических ПДн по ст. 11 ФЗ-152. Их обработка допустима только с письменного согласия субъекта. Для несовершеннолетних согласие даёт законный представитель. Отсутствие письменного согласия на прокторинг — нарушение ч. 2 ст. 13.11 КоАП (300 000 — 700 000 ₽ для юридического лица).

4. Кто оператор в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является лицо, которое самостоятельно или совместно с другими определяет цели и порядок обработки ПДн. В онлайн-школе — это юридическое лицо или ИП, оказывающее образовательные услуги. Если школа использует внешние платформы (LMS, прокторинг, CRM), они выступают обработчиками по поручению. Но именно школа несёт ответственность перед субъектом и Роскомнадзором за любые нарушения, включая действия обработчика.

5. Что грозит школе за утечку?

Зависит от масштаба. Утечка данных от 1 000 до 10 000 субъектов — штраф 3 000 000 — 5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в ред. с 30.05.2025). От 10 000 до 100 000 субъектов — 5 000 000 — 10 000 000 ₽ по ч. 13. Более 100 000 субъектов — 10 000 000 — 15 000 000 ₽ по ч. 14. Отдельно — штраф за неуведомление РКН в 24 часа: 1 000 000 — 3 000 000 ₽ по ч. 11. При повторной утечке — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 000 000 ₽.

Итог

Образовательная организация — полноправный оператор ПДн с обязательствами по ФЗ-152, идентичными бизнес-структурам. Школа обрабатывает данные несовершеннолетних, специальные категории ПДн и биометрию — это наиболее чувствительные категории с точки зрения регулятора. С 01.09.2025 изменились требования к согласиям; с 30.05.2025 действуют многократно возросшие санкции по ст. 13.11 КоАП.

DATUM сопровождает образовательные организации в вопросах соответствия ФЗ-152: от разработки пакета ОРД до представительства при проверках РКН и защите в делах о штрафах по ст. 13.11 КоАП. Специализация аналитика практики — медицина и образование.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ) и образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

19 февраля 2027 года