аналитика 17 октября 2028 По состоянию на 17 октября 2028

Гид по 152-ФЗ для ректоров

Образовательная организация — оператор персональных данных студентов, абитуриентов, сотрудников и родителей несовершеннолетних. За нарушения ст. 13.11 КоАП с 30.05.2025 — штраф от 150 тыс. до 500 млн ₽ в зависимости от состава.

ФЗ-152 применяется в вузе в десятках точек: поступление, зачисление, личное дело, КЭДО, прокторинг, онлайн-курсы, дипломные платформы, передача в ФИС ГИА и другие государственные системы. Каждая точка — потенциальное основание для предписания Роскомнадзора.

→ Если вы юрист вуза и готовитесь к проверке РКН или оцениваете состояние комплаенса — этот гид структурирует обязательства по ст. 18.1, 22, 9, 10 ФЗ-152 применительно к образовательному процессу.

Роскомнадзор включил образовательные организации в отраслевые приоритеты проверок. По данным РКН за 2024 год, зафиксировано более 135 случаев компрометации баз ПДн; часть из них — платформы EdTech и системы управления обучением. С вступлением в силу ФЗ-420 от 30.11.2024 санкции за нарушения выросли кратно. Настоящий гид охватывает ключевые обязательства вуза как оператора ПДн: от уведомления РКН и оформления согласий до обработки данных несовершеннолетних и реагирования на утечку.

Какие нормы 152-ФЗ применяются к образовательной организации?

Вуз обрабатывает несколько категорий ПДн одновременно. Общие данные — ФИО, дата рождения, адрес, СНИЛС, паспортные данные студентов и сотрудников. Специальные категории по ст. 10 ФЗ-152 возникают, когда организация собирает сведения о состоянии здоровья (справки, медосмотры, сведения об инвалидности) или обрабатывает данные, из которых можно установить религиозную принадлежность. Обработка специальных категорий по общему правилу запрещена — допустима только в исключениях п. 2 ст. 10 ФЗ-152: в частности, когда это необходимо для исполнения договора или прямо предусмотрено законодательством.

Данные несовершеннолетних требуют отдельного внимания. Если студент не достиг 18 лет, согласие на обработку ПДн по ст. 9 ФЗ-152 даёт его законный представитель — родитель или опекун. Согласие должно соответствовать требованиям о составе: ФИО субъекта и законного представителя, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. С 01.09.2025 согласие оформляется отдельным документом — не включается в текст договора об оказании образовательных услуг или в правила приёма (ФЗ-156 от 24.06.2025).

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие на обработку ПДн с 01.09.2025 — отдельный самостоятельный документ, не объединяемый с договором, офертой или иными документами. Ранее выданные согласия обратной силы не имеют и переоформлять их не требуется.»

Отдельно регулируется так называемое согласие на распространение ПДн по ст. 10.1 ФЗ-152. Если вуз публикует фотографии студентов на сайте, упоминает дипломантов в прессе или размещает рейтинги — нужно отдельное согласие на распространение. Молчание субъекта означает запрет на публикацию. Это типовая проблема при оформлении новостных материалов, выпускных фотоальбомов и страниц «Наши студенты» на официальном сайте.

Как образовательная организация выполняет обязанность по уведомлению РКН?

До начала обработки ПДн оператор обязан уведомить Роскомнадзор по ст. 22 ФЗ-152. Уведомление подаётся через pd.rkn.gov.ru с использованием УКЭП или учётной записи ЕСИА. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022. Включение в реестр операторов занимает до 30 дней.

Уведомление должно отражать реальный состав обработки. Если вуз впоследствии вводит новую систему — например, подключает платформу прокторинга или внешний LMS — состав обработки меняется. Оператор обязан направить уведомление об изменении сведений. Несоответствие реестра фактической обработке — основание для штрафа по ч. 1 ст. 13.11 КоАП в диапазоне 150 000–300 000 ₽.

Помимо первичного уведомления, по ч. 10 ст. 13.11 КоАП за неуведомление или несвоевременное уведомление о намерении осуществлять обработку штраф для юрлица составляет 100 000–300 000 ₽. Уведомление о прекращении обработки также обязательно — при ликвидации, реорганизации или отказе от информационной системы.

Уведомление в РКН устарело или отсутствует?

Если юрист вуза обнаружил, что уведомление в реестре РКН не соответствует фактической обработке — это нарушение, которое устраняется до проверки, а не в процессе. Каждый месяц без актуального уведомления увеличивает риск штрафа по ч. 1 ст. 13.11 КоАП. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и подготовят актуализированное уведомление в РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что входит в организационно-распорядительную документацию вуза по 152-ФЗ?

Ст. 18.1 ФЗ-152 обязывает оператора принять меры для обеспечения законности обработки ПДн и иметь документальное подтверждение. Для образовательной организации типовой комплект ОРД включает: политику обработки ПДн, приказ о назначении ответственного за обработку по ст. 22.1 ФЗ-152, положение об обработке ПДн работников, положение об обработке ПДн обучающихся, формы согласий (студенты, абитуриенты, сотрудники, родители несовершеннолетних, согласие на распространение), регламент реагирования на инциденты (24/72 часа), журнал учёта обращений субъектов, перечень информационных систем ПДн с определёнными уровнями защищённости.

Что подготовить к проверке Роскомнадзора

Выписка из реестра операторов ПДн (pd.rkn.gov.ru) с актуальными сведениями об обработке
Политика обработки ПДн, размещённая в открытом доступе на официальном сайте вуза (ст. 18.1 ФЗ-152)
Отдельные согласия студентов, сотрудников и родителей несовершеннолетних в редакции ФЗ-156 (с 01.09.2025)
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией
Журнал учёта обращений субъектов за 12 месяцев с отметками о сроках ответа (10 рабочих дней по ст. 20 ФЗ-152)

Политика обработки ПДн обязана соответствовать требованиям ч. 2 ст. 18.1 ФЗ-152: включать цели обработки, правовые основания, перечень субъектов и категорий ПДн, порядок реализации прав субъектов. Отсутствие политики в открытом доступе — отдельный состав по ч. 3 ст. 13.11 КоАП, штраф 30 000–60 000 ₽. На практике инспекторы РКН проверяют наличие политики на сайте вуза в первую очередь.

Ответственный за обработку ПДн по ст. 22.1 ФЗ-152 назначается приказом руководителя организации. Это не обязательно штатный юрист — им может быть сотрудник любого подразделения при наличии соответствующей квалификации. Функция DPO-аутсорсинга позволяет передать обязанности ответственного внешнему специалисту на абонентской основе, что актуально для небольших вузов и колледжей без профильного юриста в штате.

Как работает прокторинг с точки зрения 152-ФЗ?

Прокторинг при дистанционных экзаменах — это обработка биометрических и иных ПДн студентов. Видеозапись лица для идентификации при определённом техническом применении квалифицируется как обработка биометрических ПДн по ст. 11 ФЗ-152: изображение человека, позволяющее установить его личность, относится к биометрии. Это означает обязательность письменного согласия на обработку биометрических ПДн.

Часть систем прокторинга фиксирует также движения мыши, активность экрана, аудио. Эти данные относятся к общим ПДн, но порождают дополнительные основания для согласия. Если система прокторинга расположена на серверах за пределами России, возникает вопрос трансграничной передачи по ст. 12 ФЗ-152: до начала передачи в страну без адекватной защиты оператор обязан уведомить РКН.

Сервис Дневник.ру, Google Classroom, иностранные LMS используются рядом вузов и школ. Google Classroom как продукт американской компании — потенциальная трансграничная передача. Позиция РКН: первичная запись, систематизация и хранение ПДн граждан РФ должны происходить в базах на территории России (ч. 5 ст. 18 ФЗ-152, усилена с 01.07.2025 ФЗ-233). Использование исключительно зарубежного облака без российской копии — нарушение требований локализации, штраф по ч. 8 ст. 13.11 КоАП 1 000 000–6 000 000 ₽.

Если вуз использует иностранную LMS или систему прокторинга без оценки соответствия требованиям локализации — это нарушение ч. 5 ст. 18 ФЗ-152 с 01.07.2025. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽. Юристы DATUM проведут оценку и подготовят схему приведения в соответствие.

Заказать аудит 152-ФЗ

Типовые ситуации: как это выглядит на практике

Ситуация 1. Вуз публикует результаты ЕГЭ абитуриентов на сайте. Ряд вузов размещает на сайте списки зачисленных с баллами ЕГЭ. Баллы ЕГЭ в совокупности с ФИО — это ПДн, обработка которых в целях публикации требует согласия на распространение по ст. 10.1 ФЗ-152. Если согласие не получено, публикация нарушает закон. Доказательства: скриншот сайта, отсутствие согласия в личном деле. Вероятный исход при проверке: предписание об устранении + протокол по ч. 1 ст. 13.11 КоАП, штраф 150 000–300 000 ₽. Стратегия: убрать публикацию до проверки, получить согласия на распространение при зачислении, внести изменения в ОРД.

Ситуация 2. Утечка данных студентов через взлом системы управления обучением. В одном из университетов Сибирского федерального округа (начало 2026 года) злоумышленники получили доступ к базе LMS через уязвимость в плагине. В базе — данные порядка 15 000 студентов: ФИО, email, телефоны, сведения об успеваемости. Вуз зафиксировал инцидент в течение 4 часов, направил первичное уведомление в РКН за 20 часов. Через 72 часа представлен отчёт по Приказу РКН №187. Административное дело возбуждено по ч. 12 ст. 13.11 КоАП (утечка 10 000–100 000 субъектов, штраф 5 000 000–10 000 000 ₽). В арбитражном суде вузу удалось применить смягчающие обстоятельства — своевременное уведомление и документированные меры реагирования. Итоговый штраф — в нижней границе диапазона. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Ситуация 3. Согласия родителей несовершеннолетних включены в договор об образовательных услугах. После 01.09.2025 такая форма недействительна в части согласия — ФЗ-156 требует отдельного документа. Если проверка РКН фиксирует, что согласие входит в текст договора, составляется протокол по ч. 2 ст. 13.11 КоАП. Для юрлица штраф — 300 000–700 000 ₽. Стратегия: переработать форму договора, выделить согласие в самостоятельный документ, провести повторный сбор согласий при ближайшем переподписании договоров.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка обработки ПДн по 38 пунктам, отчёт с планом устранения нарушений
Комплект ОРД под ключ — политика, согласия, приказы, регламенты для образовательной организации
DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентской основе

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие законного представителя — родителя или опекуна — необходимо при обработке ПДн студента или учащегося, не достигшего 18 лет. По ст. 9 ФЗ-152 субъект даёт согласие самостоятельно — но дееспособность в полном объёме наступает с 18 лет. Согласие должно соответствовать обязательному составу реквизитов и с 01.09.2025 оформляться отдельным документом по ФЗ-156. Если ребёнок старше 14 лет — на практике рекомендуется получать подпись и самого несовершеннолетнего, и его представителя.

2. Можно ли использовать Google Classroom для дистанционного обучения?

Использование возможно при условии соблюдения требований локализации: ч. 5 ст. 18 ФЗ-152 обязывает хранить и систематизировать ПДн граждан РФ в базах на территории России. Если Google Classroom используется как единственная система без российского зеркала — это нарушение, за которое с 30.05.2025 предусмотрен штраф по ч. 8 ст. 13.11 КоАП 1–6 млн ₽. Перед внедрением рекомендуется оценить, где фактически хранятся данные, и при необходимости использовать отечественный LMS в связке с иностранным сервисом.

3. Что такое прокторинг с точки зрения 152-ФЗ и какие документы нужны?

Прокторинг предполагает видеозапись студента для идентификации личности — это обработка биометрических ПДн по ст. 11 ФЗ-152. Обработка биометрии допускается только с письменного согласия субъекта. Если система прокторинга размещена у иностранного провайдера — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Минимальный документальный набор: отдельное согласие на обработку биометрических ПДн, уведомление о трансгранике (при необходимости), договор-поручение с оператором системы прокторинга по п. 3 ст. 6 ФЗ-152.

4. Кто является оператором ПДн в онлайн-школе или вузе с дистанционным форматом?

Оператором является юридическое лицо — образовательная организация, которая определяет цели и способы обработки ПДн студентов. Платформа LMS или сервис видеоконференций в большинстве случаев — обработчик по поручению по п. 3 ст. 6 ФЗ-152. Между оператором и обработчиком необходим договор с перечнем разрешённых действий и требованием конфиденциальности. Оператор несёт ответственность перед субъектом и РКН за действия обработчика — принцип, подтверждённый судебной практикой ВС РФ.

5. Что грозит образовательной организации за утечку персональных данных студентов?

Ответственность зависит от масштаба утечки. По ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов) — штраф 3–5 млн ₽; по ч. 13 (10 000–100 000) — 5–10 млн ₽; по ч. 14 (более 100 000) — 10–15 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно — штраф по ч. 11 ст. 13.11 КоАП за неуведомление РКН об инциденте в 24 часа (1–3 млн ₽). Уголовная ответственность по ст. 272.1 УК РФ (с 11.12.2024) — до 10 лет лишения свободы при тяжких последствиях.

Итог

Образовательная организация как оператор ПДн сталкивается с многоуровневыми обязательствами: уведомление РКН, формирование ОРД, соблюдение требований к согласиям (в том числе родителей несовершеннолетних), локализация данных, отдельный порядок для биометрии и прокторинга. С 30.05.2025 штрафы по ст. 13.11 КоАП выросли: за утечку от 1 000 субъектов — от 3 млн ₽, за повторную — оборотный расчёт. Наибольший практический риск — несоответствие реестра РКН фактической обработке и согласия, включённые в текст договоров до 01.09.2025.

Практика DATUM охватывает аудит обработки ПДн в образовательных организациях, разработку ОРД с учётом специфики обработки данных несовершеннолетних, а также сопровождение проверок Роскомнадзора в вузах и EdTech-компаниях.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях, согласия родителей, прокторинг, обработка ПДн несовершеннолетних, ФЗ-323 × ФЗ-152.