аналитика 14 февраля 2027 По состоянию на 14 февраля 2027

Кейс РЭШ: АС Москвы № А40-351064/2025

Арбитражный суд Москвы рассмотрел дело об утечке более 100 000 субъектов персональных данных в отношении Российской электронной школы и назначил штраф по ч. 14 ст. 13.11 КоАП (в редакции с 30.05.2025), который составляет от 10 до 15 млн рублей для юридических лиц.

Суд применил правила расчёта для организаций с особым статусом и снизил итоговый штраф до 400 000 рублей — ориентируясь на нормы ч. 1 ст. 4.1.2 КоАП о микропредприятиях. Это первый публично известный случай назначения штрафа по новым нормам ФЗ-420 за крупную утечку в образовательном секторе.

→ Если вы юрист образовательной организации и анализируете риски по итогам этого дела — оценка актуального состояния ОРД и реестра РКН занимает от 3 рабочих дней.

Дело № А40-351064/2025 стало одним из первых арбитражных прецедентов по новым нормам ст. 13.11 КоАП, вступившим в силу 30 мая 2025 года. Для юриста образовательной организации это дело — практическое руководство: какие обстоятельства суд учёл при расчёте штрафа, как статус организации влияет на итоговую санкцию и какие меры снижают риск повторного привлечения. В статье — разбор фактических обстоятельств, применённых норм, процессуальных особенностей и выводов, актуальных для образовательного сектора в 2025–2026 годах.

Что произошло с РЭШ: фактические обстоятельства дела?

Российская электронная школа — государственная образовательная платформа, оператор персональных данных учеников и педагогов. Утечка затронула более 100 000 субъектов. По квалификации РКН и последующей позиции суда, событие подпало под состав ч. 14 ст. 13.11 КоАП — утечка персональных данных более 100 000 субъектов либо более 1 000 000 уникальных идентификаторов. Санкция по этой части для юридических лиц в редакции ФЗ-420 составляет от 10 до 15 млн рублей.

Состав затронутых данных публично не раскрыт в полном объёме. Применительно к образовательным платформам типовой набор включает: фамилию, имя, отчество обучающегося, дату рождения, данные родителей (законных представителей), сведения об успеваемости, регион проживания. Часть из этих категорий — персональные данные несовершеннолетних, что само по себе является отягчающим обстоятельством при оценке вреда субъектам.

«Ст. 13.11 ч. 14 КоАП (в ред. ФЗ-420 от 30.11.2024, действует с 30.05.2025) — утечка ПДн более 100 000 субъектов или более 1 000 000 идентификаторов: штраф для юридических лиц от 10 000 000 до 15 000 000 рублей.»

Ключевой процессуальный вопрос состоял в следующем: как применить санкцию ч. 14 к организации, которая формально относится к категории, позволяющей применить расчётные правила для микропредприятий по ч. 1 ст. 4.1.2 КоАП. Суд принял расчёт в пользу применения этих правил и назначил штраф 400 000 рублей.

Как суд применил нормы КоАП: почему штраф составил 400 000, а не 10–15 млн рублей?

Статья 4.1.2 КоАП предусматривает особый порядок назначения административного наказания для социально ориентированных некоммерческих организаций и ряда других субъектов. Суть правила — если для индивидуального предпринимателя за соответствующее правонарушение предусмотрен штраф ниже, чем для юридического лица, то организация, подпадающая под действие ч. 1 ст. 4.1.2, вправе рассчитывать на применение размера, установленного для ИП.

По ч. 14 ст. 13.11 КоАП штраф для должностных лиц и ИП существенно ниже, чем для юридических лиц. Применив правила ч. 1 ст. 4.1.2 КоАП, суд пересчитал санкцию и вышел на итоговые 400 000 рублей. Это не замена штрафа на предупреждение по ст. 4.1.1 КоАП — речь идёт о другом механизме снижения, доступном при наличии определённого статуса организации.

«Ст. 4.1.2 ч. 1 КоАП — особый порядок назначения наказания: при наличии установленных оснований суд применяет размер штрафа, предусмотренный для индивидуального предпринимателя, а не для юридического лица.»

Для юриста это означает следующее: статус организации — самостоятельный процессуальный аргумент при обжаловании постановления. Его необходимо заявлять явно и подкреплять документами о статусе ещё на стадии рассмотрения дела в суде первой инстанции, а не в апелляции.

Анализируете риски по итогам дела РЭШ для своей организации?

Если вы юрист образовательной или иной организации, которая обрабатывает персональные данные несовершеннолетних, и хотите понять, какой статус по КоАП применим в вашем случае — начать стоит с аудита реестра РКН и состава ОРД. Любая ошибка в квалификации статуса на стадии составления протокола сужает возможности защиты в суде.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие нарушения 152-ФЗ типичны для образовательных платформ?

Дело РЭШ отражает системные проблемы EdTech-сектора. Юристам, сопровождающим образовательные организации, полезно понимать, какие нарушения чаще всего выявляет РКН при проверках и какие из них создают основания для протоколов по ст. 13.11 КоАП.

Согласие родителей (законных представителей). По ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, вступившей в силу с 01.09.2025, согласие на обработку персональных данных должно быть оформлено отдельным документом — не включённым в текст договора, оферты или пользовательского соглашения. Для обработки ПДн несовершеннолетних до 14 лет согласие дают родители или законные представители. Объединение согласия с договором об оказании образовательных услуг или с политикой конфиденциальности сайта — прямое нарушение ч. 2 ст. 13.11 КоАП (штраф для юрлиц от 300 000 до 700 000 рублей).

Прокторинг и биометрия. Системы дистанционного контроля на экзаменах, в том числе при сдаче ЕГЭ в дистанционном формате, используют изображение лица и голос — биометрические персональные данные по ст. 11 ФЗ-152. Их обработка требует отдельного письменного согласия. Для несовершеннолетних — согласия родителей. Использование сторонних прокторинговых платформ без договора поручения обработки (ст. 6 ч. 3 ФЗ-152) создаёт риск привлечения по ч. 16 ст. 13.11 КоАП.

Дневник.ру, Google Classroom и иностранные сервисы. Использование зарубежных облачных платформ для хранения и обработки персональных данных российских учеников затрагивает ч. 5 ст. 18 ФЗ-152 о локализации. С 01.07.2025 требование локализации ужесточено: первичный сбор и запись ПДн российских граждан должны осуществляться в базах данных на территории России. Передача данных за рубеж — уже после первичной записи в российской базе — требует уведомления РКН по ст. 12 ФЗ-152 и оценки страны по перечню адекватной защиты.

«Ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 (действует с 01.09.2025) — согласие на обработку ПДн оформляется отдельным документом. Включение согласия в текст договора или политики конфиденциальности недопустимо.»

Дневники и системы успеваемости. Сведения об успеваемости и поведении ученика при определённом составе могут квалифицироваться как данные о характеристиках личности, требующие отдельного правового основания обработки. Передача таких сведений третьим лицам (репетиторам, психологам, работодателям при практике) без надлежащего согласия — нарушение ст. 6 ФЗ-152.

Что подготовить юристу образовательной организации

Выписка из реестра операторов ПДн РКН с актуальными сведениями об обрабатываемых категориях и целях — проверить на соответствие фактической обработке
Отдельные согласия родителей (законных представителей) на обработку ПДн несовершеннолетних по ст. 9 ФЗ-152 в редакции с 01.09.2025 — не в составе договора
Договоры поручения обработки ПДн со всеми внешними платформами (прокторинг, LMS, облачные хранилища) по ст. 6 ч. 3 ФЗ-152
Политика обработки ПДн по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте, содержит перечень обрабатываемых данных, цели, сроки, сведения об обработчиках
Журнал учёта обращений субъектов (родителей, совершеннолетних учеников) за последние 12 месяцев с отметками об исполнении в срок по ст. 20 ФЗ-152

Как решение по делу РЭШ применимо к другим образовательным организациям?

Дело № А40-351064/2025 демонстрирует несколько практически значимых выводов, актуальных для юристов образовательного сектора.

Новые нормы применяются к событиям после 30.05.2025. Утечки, произошедшие до вступления ФЗ-420 в силу, квалифицировались по старой редакции ст. 13.11 — с существенно меньшими санкциями. Дело АС Москвы № А40-263126/2025 (26 млн записей, штраф 150 000 рублей) показывает этот контраст: событие произошло до 01.06.2025, применена старая редакция ч. 1 ст. 13.11. С 30 мая 2025 года аналогичная утечка влечёт штраф от 10 до 15 млн рублей.

Статус организации — ключевой аргумент снижения санкции. Применение ч. 1 ст. 4.1.2 КоАП требует заблаговременной подготовки: документального подтверждения статуса организации, корректного заявления ходатайства в суде первой инстанции. Без этого аргумента итоговая санкция могла составить от 10 до 15 млн рублей.

Подсудность с 28.12.2025 — мировые судьи. После принятия ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП вернулись к мировым судьям. Для образовательных организаций это означает иной порядок обжалования и иные процессуальные сроки по сравнению с арбитражным судопроизводством.

Если организация получила запрос РКН или обнаружила признаки утечки данных учеников — у вас 24 часа на первичное уведомление (ч. 3.1 ст. 21 ФЗ-152). Срок не восстанавливается, несвоевременное уведомление — отдельный штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн рублей.

Подготовиться к проверке РКН

Практика: типовые сценарии для юриста образовательной организации

Сценарий 1. Платформа ЕГЭ или дистанционного обучения использует прокторинг без отдельного согласия на биометрию. Ситуация: подрядчик (прокторинговая платформа) обрабатывает изображения лиц учеников. Согласие включено в общее пользовательское соглашение. Доказательства нарушения: скриншот интерфейса с единым текстом согласия, показания о порядке регистрации. Вероятный исход: протокол по ч. 16 ст. 13.11 КоАП за обработку биометрии без надлежащего согласия. Для несовершеннолетних — дополнительный состав по ч. 2 ст. 13.11 (отсутствие согласия родителей). Стратегия: срочно оформить отдельные письменные согласия родителей, перезаключить договор с прокторинговой платформой как договор поручения обработки ПДн по ст. 6 ч. 3 ФЗ-152.

Сценарий 2. Онлайн-школа использует Google Classroom или иной зарубежный сервис для хранения ПДн российских учеников. Ситуация: данные учеников (ФИО, возраст, успеваемость) записываются непосредственно в облако зарубежного провайдера. Уведомление о трансграничной передаче РКН не подавалось. Доказательства: техническая документация платформы, политика конфиденциальности провайдера. Вероятный исход: нарушение ч. 5 ст. 18 ФЗ-152 о локализации — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн рублей. При повторности — ч. 9 ст. 13.11, от 6 до 18 млн рублей. Стратегия: перевести первичную запись ПДн в российскую базу данных, уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152.

Сценарий 3. Утечка данных учеников через уязвимость в собственной LMS. Ситуация: хакерская атака на платформу, скомпрометированы данные более 10 000 субъектов. Оператор обнаружил инцидент через 30 часов, уведомление РКН не направлено в 24-часовой срок. Доказательства: логи систем, отчёт об инциденте, таймстамп обнаружения. Вероятный исход: штраф по ч. 13 ст. 13.11 (от 5 до 10 млн рублей за утечку 10 000–100 000 субъектов) плюс штраф по ч. 11 ст. 13.11 за несвоевременное уведомление (от 1 до 3 млн рублей). Стратегия: немедленно направить запоздалое уведомление с объяснением обстоятельств, заказать независимый технический отчёт, подготовить 72-часовой отчёт по Приказу РКН №187 как аргумент добросовестности при рассмотрении дела.

Микро-кейсы из практики

Кейс 1. Региональная онлайн-школа (Приволжский ФО, лето 2025) использовала прокторинговую платформу с обработкой биометрии учеников. Согласия родителей были включены в текст договора об образовательных услугах. По результатам проверки РКН юрист организации подготовил самостоятельное переоформление 4 200 согласий и подал уведомление об изменении сведений в реестр операторов. Протокол по ч. 16 ст. 13.11 КоАП составлен не был — РКН ограничился предписанием об устранении нарушений. Ключевым аргументом стала оперативность переоформления документов до вынесения постановления.

Кейс 2 (из реестра DATUM — дело РЭШ). Арбитражный суд Москвы по делу № А40-351064/2025 назначил штраф по ч. 14 ст. 13.11 КоАП за утечку более 100 000 субъектов. Суд применил ч. 1 ст. 4.1.2 КоАП и снизил итоговую санкцию с диапазона 10–15 млн рублей до 400 000 рублей, исходя из правил расчёта для организаций с особым статусом. По данным ГАРАНТ.РУ от 23.03.2026, это один из первых назначенных штрафов по новым нормам ФЗ-420 в образовательном секторе. Источник: ГАРАНТ.РУ, март 2026.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка реестра, ОРД и согласий по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия родителей, договоры поручения, журналы
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие родителей (законных представителей) требуется при обработке персональных данных детей до 14 лет — по общему правилу ст. 9 ФЗ-152. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом: его нельзя включать в текст договора об образовательных услугах, оферты или пользовательского соглашения. Для детей от 14 до 18 лет согласие может давать сам ребёнок — если только речь не идёт о специальных категориях данных, где по-прежнему требуется согласие родителя.

2. Можно ли использовать Google Classroom или другие зарубежные платформы для обработки ПДн учеников?

С 01.07.2025 первичная запись, систематизация и хранение персональных данных российских граждан должны осуществляться в базах данных на территории России (ч. 5 ст. 18 ФЗ-152). Использование Google Classroom в качестве основной базы хранения ПДн российских учеников нарушает требование локализации. Допустимый вариант: первичная запись в российской базе, последующая синхронизация с зарубежной платформой при условии уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Нарушение локализации — штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн рублей.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — автоматизированный контроль на экзаменах с использованием видеозаписи лица и голоса. По ст. 11 ФЗ-152 изображение лица и голос относятся к биометрическим персональным данным, когда они используются для идентификации личности. Их обработка допустима только при наличии отдельного письменного согласия субъекта (или родителя для несовершеннолетних). Кроме того, если прокторинг реализован через внешнюю платформу, с ней необходимо заключить договор поручения обработки ПДн по ст. 6 ч. 3 ФЗ-152. Без договора ответственность за утечку через платформу-подрядчика несёт оператор — образовательная организация.

4. Кто является оператором персональных данных в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является лицо, самостоятельно или совместно с другими определяющее цели и состав обработки. В онлайн-школе это, как правило, юридическое лицо — правообладатель платформы или организация, с которой ученик (родитель) заключает договор об образовательных услугах. Платформа-подрядчик (LMS, прокторинг, рассылки) — обработчик по поручению, не самостоятельный оператор. Ответственность за действия обработчика перед субъектами ПДн несёт оператор.

5. Что грозит образовательной организации за утечку персональных данных учеников?

Санкция зависит от числа затронутых субъектов. При утечке от 1 000 до 10 000 субъектов — штраф по ч. 12 ст. 13.11 КоАП от 3 до 5 млн рублей; от 10 000 до 100 000 — ч. 13, от 5 до 10 млн рублей; свыше 100 000 — ч. 14, от 10 до 15 млн рублей. Дополнительно — штраф за несвоевременное уведомление РКН по ч. 11 ст. 13.11 от 1 до 3 млн рублей. Статус организации по ст. 4.1.2 КоАП может позволить применить правила расчёта для ИП и существенно снизить итоговую санкцию — как в деле РЭШ (400 000 рублей вместо 10–15 млн рублей).

Итог

Дело № А40-351064/2025 показывает: новые санкции ФЗ-420 применяются реально, но суды готовы использовать инструменты снижения — в частности, ч. 1 ст. 4.1.2 КоАП для организаций с особым статусом. Для юриста образовательной организации этот прецедент означает два практических вывода: статус организации нужно документировать заблаговременно, а соблюдение требований ФЗ-152 (согласия родителей, договоры с прокторинговыми платформами, локализация ПДн) снижает вероятность самого возникновения дела.

Практика DATUM в образовательном секторе включает сопровождение онлайн-школ, EdTech-платформ и государственных образовательных организаций по вопросам соответствия 152-ФЗ: от аудита реестра РКН и состава ОРД до сопровождения проверок и защиты при получении протоколов по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, 323-ФЗ × 152-ФЗ.

14 февраля 2027 года