Кейс штрафа школы по 13.11

Школы и онлайн-платформы для образования редко воспринимают себя как полноценных операторов ПДн. Между тем они собирают данные детей и родителей в электронных журналах, CRM, системах прокторинга и мессенджерах — зачастую без надлежащих согласий и без уведомления Роскомнадзора. Реальные административные дела 2025–2026 годов показывают: проверки идут и штрафы назначаются. В этом материале — разбор типовых нарушений школы, применимые части ст. 13.11 КоАП и стратегия снижения риска для юриста организации.

Почему школа является оператором персональных данных?

По ст. 3 ФЗ-152 оператор — любое лицо, которое самостоятельно или совместно с другими организует и осуществляет обработку ПДн. Образовательная организация подпадает под это определение в нескольких ролях одновременно.

Во-первых, школа обрабатывает ПДн работников — педагогов, административного персонала. Это типовая HR-обработка, регулируемая ст. 86–88 ТК и ст. 9 ФЗ-152. Во-вторых, школа собирает ПДн обучающихся и их родителей (законных представителей): ФИО, дата рождения, место жительства, сведения об успеваемости, состоянии здоровья. Данные о здоровье относятся к специальным категориям по ст. 10 ФЗ-152 — их обработка по общему правилу допускается только с письменного согласия субъекта или его законного представителя.

В-третьих, при использовании федеральных информационных систем — ФГИС «Моя школа», электронных журналов, платформ ЕГЭ — школа передаёт ПДн обучающихся третьим сторонам. С точки зрения ФЗ-152 это либо поручение обработки (ст. 6 п. 3), либо передача самостоятельному оператору. В обоих случаях нужны документы.

Именно смешение ролей (работодатель, оператор по детям, контрагент федеральных систем) и создаёт у школы комплексный профиль нарушителя: недостатки одновременно в нескольких частях ст. 13.11 КоАП.

Какие нарушения ст. 13.11 КоАП типичны для образовательных организаций?

Административная практика по школам и EdTech-платформам формируется вокруг нескольких устойчивых составов. Юристу важно понимать, что каждый из них — самостоятельная часть ст. 13.11 КоАП с отдельным протоколом и штрафом.

Ч. 1 ст. 13.11 — обработка в случаях, не предусмотренных законом. Типичная ситуация: школа собирает данные родителей для рассылки новостей или передаёт их в родительский чат без правового основания. Обработка без одного из 11 оснований ст. 6 ФЗ-152 — прямое нарушение. Штраф для юрлица: 150 000–300 000 ₽ (в ред. с 30.05.2025).

Ч. 2 ст. 13.11 — отсутствие письменного согласия или нарушение его состава. Это наиболее частый состав в практике школ. Согласие на обработку ПДн несовершеннолетнего даёт законный представитель. Если согласие включено в текст договора, принято через галочку на сайте или не содержит обязательных реквизитов по ст. 9 ФЗ-152 (перечень данных, цель, срок, способ отзыва) — оно не считается надлежащим. Штраф: 300 000–700 000 ₽.

Ч. 3 ст. 13.11 — отсутствие политики обработки ПДн на сайте. По ст. 18.1 ФЗ-152 оператор обязан опубликовать документ, определяющий порядок обработки ПДн. У большинства муниципальных школ политика либо отсутствует, либо не обновлялась с 2018 года и не учитывает изменения ФЗ-156 и нормы о прокторинге. Штраф: 30 000–60 000 ₽.

Ч. 10 ст. 13.11 — неуведомление РКН о намерении обрабатывать ПДн. Школа обязана встать на учёт в реестр операторов по ст. 22 ФЗ-152. Многие муниципальные учреждения этого не делают или подали уведомление с устаревшими сведениями. Штраф: 100 000–300 000 ₽.

Ч. 12–14 ст. 13.11 — утечка ПДн. При взломе электронного журнала или базы данных системы прокторинга масштаб нарушения определяется числом затронутых субъектов: от 1 000 до 10 000 — штраф 3–5 млн ₽ (ч. 12), от 10 000 до 100 000 — 5–10 млн ₽ (ч. 13), свыше 100 000 — 10–15 млн ₽ (ч. 14). Повторная утечка — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

Как работает прокторинг с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль прохождения экзаменов или тестирований через видеозапись, анализ поведения, фиксацию изображения лица. С позиции ФЗ-152 это обработка биометрических персональных данных по ст. 11: изображение лица используется для идентификации конкретного человека.

Правовые последствия для школы или EdTech-платформы:

• Требуется письменное согласие субъекта (или законного представителя для несовершеннолетнего) на обработку биометрии — отдельное от согласия на общую обработку ПДн.
• Запись видео с лицом и голосом хранится у оператора или у провайдера прокторинговой системы — необходим договор поручения обработки по ст. 6 п. 3 ФЗ-152.
• Передача видеозаписей иностранному провайдеру прокторинга (например, на серверы за рубежом) — трансграничная передача по ст. 12 ФЗ-152, требующая уведомления РКН.
• Нарушение порядка обработки биометрии — ч. 16 ст. 13.11 КоАП; утечка биометрических данных — ч. 17, штраф 15–20 млн ₽.

На практике большинство онлайн-школ и EdTech-платформ получают согласие на прокторинг в момент регистрации — объединённым чекбоксом. После 01.09.2025 такая форма не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть отдельным документом.

Реальные административные кейсы: как школы получали штрафы

Реестр административных дел по образовательным организациям 2025–2026 годов позволяет выделить несколько типовых сценариев.

Кейс 1. В деле Российской электронной школы (АС Москвы, дело № А40-351064/2025) зафиксирована утечка данных более 100 000 субъектов. Квалификация — ч. 14 ст. 13.11 КоАП (штраф для юрлиц 10–15 млн ₽). С учётом статуса учреждения и применения правил расчёта для субъектов малого предпринимательства назначен штраф 400 000 ₽. Это первое публично подтверждённое дело по новым нормам ФЗ-420 в отношении образовательной организации — прецедент для всей отрасли.

Кейс 2. Муниципальная школа в Сибирском федеральном округе (начало 2026 года) получила протокол по ч. 2 и ч. 3 ст. 13.11 КоАП после плановой проверки РКН. Согласия родителей были включены в текст договора об образовательных услугах — нарушение ч. 2. Политика конфиденциальности на сайте отсутствовала — нарушение ч. 3. Юрист организации подготовил позицию о первичности нарушения и об отсутствии причинённого вреда. Мировой суд назначил штрафы в нижней части диапазона; общая сумма составила менее 400 000 ₽. Ключевым аргументом стало добровольное устранение нарушений до вынесения постановления.

Какие сценарии нарушений встречаются у EdTech-платформ и онлайн-школ?

Сценарий 1 — использование Google Classroom или иных зарубежных LMS. Ситуация: онлайн-школа использует Google Classroom для ведения занятий и хранит там ПДн обучающихся. Доказательства: данные хранятся на серверах за пределами РФ, уведомление о трансграничной передаче в РКН не подавалось, договор с Google не содержит условий поручения обработки. Вероятный исход: нарушение ч. 5 ст. 18 ФЗ-152 о локализации (ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽) + нарушение порядка трансграничной передачи (ч. 1 ст. 13.11, 150–300 тыс. ₽). Стратегия: перенести первичную запись и хранение в российскую систему, использовать Google Classroom только как интерфейс без хранения ПДн, уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152.

Сценарий 2 — утечка базы ПДн через взломанный электронный журнал. Ситуация: злоумышленник получил доступ к базе электронного журнала с данными 15 000 учеников и их родителей (ФИО, дата рождения, адрес, оценки). Доказательства: факт инцидента установлен, данные появились на тематических форумах. Вероятный исход: ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов, штраф 5–10 млн ₽) + ч. 11 ст. 13.11 за неуведомление РКН в 24 часа (1–3 млн ₽). Стратегия: незамедлительно подать первичное уведомление по Приказу РКН №187, через 72 часа — отчёт о результатах расследования, параллельно собрать доказательства принятых мер защиты для смягчения ответственности по ст. 4.1 КоАП.

Сценарий 3 — согласия родителей в составе договора до 01.09.2025. Ситуация: частная школа включала согласие на обработку ПДн в текст договора об образовательных услугах. После 01.09.2025 такая форма перестала соответствовать требованиям ст. 9 ФЗ-152 в редакции ФЗ-156. Доказательства: договоры с подписями родителей хранятся, отдельного документа-согласия нет. Вероятный исход: ч. 2 ст. 13.11 (300 000–700 000 ₽) при первой же проверке. Стратегия: переоформить согласия отдельными документами для всех действующих учеников; новые согласия оформлять по обновлённой форме с момента внедрения. Обратной силы ФЗ-156 не имеет, но при проверке инспектор смотрит на текущее состояние документооборота.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка ОРД, согласий и реестра по чек-листу из 38 пунктов
• Комплект ОРД под ключ — политика, согласия родителей, договоры поручения, приказы
• DPO-аутсорсинг — ответственный за обработку ПДн на абонентской основе по ст. 22.1

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя (родителя или опекуна) требуется при обработке ПДн несовершеннолетнего, если субъекту нет 14 лет, либо при обработке специальных категорий ПДн по ст. 10 ФЗ-152 (данные о здоровье, религиозные взгляды). С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом — не в составе договора об образовательных услугах и не в форме галочки на сайте. Обязательные реквизиты: ФИО субъекта и представителя, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

2. Можно ли использовать Google Classroom?

Использование Google Classroom допустимо, если первичные запись и хранение ПДн российских обучающихся осуществляются в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152). Если данные фактически хранятся на серверах Google в США или ЕС — это нарушение требования локализации (ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽). Дополнительно при передаче данных за рубеж необходимо уведомить РКН по ст. 12 ФЗ-152. Безопасная модель: платформа выступает интерфейсом, фактическое хранение ПДн — в российской системе.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг предполагает видеозапись обучающегося с идентификацией по лицу и голосу. По ст. 11 ФЗ-152 это обработка биометрических ПДн. Для её проведения требуется письменное согласие субъекта (или законного представителя) исключительно на биометрию — отдельно от общего согласия на обработку ПДн. Нарушение порядка обработки биометрии — ч. 16 ст. 13.11 КоАП; утечка биометрических данных — ч. 17, штраф для юрлиц 15–20 млн ₽.

4. Кто является оператором в онлайн-школе?

В онлайн-школе оператором ПДн является организация или индивидуальный предприниматель, который определяет цели и порядок обработки данных учеников и педагогов. Провайдер LMS-платформы (например, GetCourse, Teachable, собственная разработка) выступает лицом, осуществляющим обработку по поручению оператора, — если между ними заключён договор поручения по ст. 6 п. 3 ФЗ-152. Без такого договора провайдер де-факто является самостоятельным оператором, что создаёт риски для обеих сторон.

5. Что грозит школе за утечку персональных данных?

Ответственность зависит от числа пострадавших субъектов. Утечка от 1 000 до 10 000 человек — штраф 3–5 млн ₽ (ч. 12 ст. 13.11 КоАП). От 10 000 до 100 000 — 5–10 млн ₽ (ч. 13). Свыше 100 000 — 10–15 млн ₽ (ч. 14). Если организация не уведомила РКН в течение 24 часов с момента обнаружения инцидента (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187), добавляется штраф по ч. 11 ст. 13.11 — 1–3 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15 — до 500 млн ₽.

Итог

Образовательная организация несёт полный набор обязанностей оператора ПДн по ФЗ-152: уведомление РКН, согласия законных представителей, политика обработки, договоры с провайдерами, реагирование на утечки за 24 часа. Административная практика 2025–2026 годов фиксирует реальные дела против школ — в том числе по новым нормам ФЗ-420. Дело РЭШ (А40-351064/2025) стало прецедентом: суд применил ч. 14 ст. 13.11 КоАП к образовательной платформе с утечкой более 100 000 субъектов.

DATUM сопровождает образовательные организации и EdTech-платформы в части приведения обработки ПДн в соответствие с ФЗ-152: от аудита и сборки ОРД до представления интересов при проверке РКН и оспаривания протоколов по ст. 13.11 КоАП.