Хранение работ учащихся: ПДн

Образовательные организации ежегодно накапливают тысячи работ учащихся: контрольные, эссе, проекты, тесты в системах типа «Дневник.ру», экзаменационные материалы ЕГЭ, записи прокторинговых сессий. Каждый из этих массивов — это персональные данные несовершеннолетних, и юрист, проверяющий комплаенс школы или онлайн-платформы, обязан оценить три вещи: правовое основание хранения, срок и место хранения, а также наличие документов, которые выдержат проверку Роскомнадзора.

Какие данные в работах учащихся относятся к ПДн по 152-ФЗ?

По ст. 3 ФЗ-152 персональными данными признаётся любая информация, которая прямо или косвенно идентифицирует физическое лицо. Работа учащегося, содержащая фамилию, имя и отчество, класс, школьный идентификатор или оценку, — это ПДн. Загруженный в систему дистанционного обучения файл с именем файла «Иванов_9Б_сочинение.docx» идентифицирует субъекта не хуже паспорта.

Отдельно стоят данные, возникающие при прокторинге: видеозапись лица учащегося, голос, данные о движении глаз. По ст. 11 ФЗ-152 изображение лица и голос признаются биометрическими ПДн, если используются для идентификации личности. Прокторинговая запись сессии ЕГЭ или онлайн-экзамена — именно такой случай. Обработка биометрии допустима только при письменном согласии субъекта (или его законного представителя для несовершеннолетних), и хранение таких записей требует отдельного правового основания.

Данные несовершеннолетних — это ПДн лиц до 18 лет. 152-ФЗ не выделяет их в отдельную «специальную» категорию по ст. 10, однако на практике РКН рассматривает обработку ПДн детей как зону повышенного контроля: согласие на обработку в отношении детей до 14 лет даёт только законный представитель, от 14 до 18 лет — сам учащийся с согласия родителя.

Таким образом, типичный пакет данных в работах учащихся включает общие ПДн (ФИО, класс, дата), данные об успеваемости (оценки, ошибки, уровень знаний) и, при прокторинге, биометрические ПДн. Последние требуют письменного согласия и, как правило, более строгого режима хранения.

Какие правовые основания допускают хранение работ учащихся?

Ст. 6 ФЗ-152 устанавливает 11 оснований для обработки ПДн. Образовательные организации, как правило, опираются на три из них применительно к работам учащихся.

Первое — согласие субъекта (п. 1 ч. 1 ст. 6). Для несовершеннолетних до 14 лет согласие даёт законный представитель. С 01.09.2025 согласие обязано быть оформлено отдельным документом с полным перечнем реквизитов по ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, перечень действий (в том числе хранение), срок хранения, способ отзыва.

Второе — исполнение договора об образовательных услугах (п. 5 ч. 1 ст. 6). Это основание покрывает обработку, объективно необходимую для реализации договора. Хранение итоговых оценок и аттестационных материалов в рамках государственной итоговой аттестации подпадает под это основание. Однако хранение черновиков, промежуточных тестов и видеозаписей занятий за пределами срока, нужного для учебного процесса, — уже за пределами договора.

Третье — исполнение обязанности, предусмотренной законом (п. 2 ч. 1 ст. 6). Ряд документов хранится в силу требований Федерального закона «Об образовании в РФ» (273-ФЗ) и архивного законодательства. Личные дела учащихся, документы ГИА — сроки и порядок хранения определяются нормативными актами Минпросвещения и Минобрнауки. Юрист обязан разграничить: что хранится по закону (и тогда согласие не требуется), а что — сверх того (и тогда согласие обязательно).

На практике это означает следующее: работа, которую учащийся сдал в сентябре, должна быть уничтожена после выставления оценки, если иное не предусмотрено договором или требованиями закона. Хранение всех работ «на всякий случай» противоречит принципу минимизации и даёт РКН основание для составления протокола по ч. 1 ст. 13.11 КоАП.

Как платформы дистанционного обучения создают риски для образовательной организации?

Онлайн-школы, EdTech-платформы и системы управления обучением (LMS) — типичный источник нарушений в части ПДн несовершеннолетних. Юрист, проверяющий комплаенс, должен оценить три вопроса: кто является оператором, где физически хранятся данные, и оформлено ли поручение на обработку.

В отношении оператора позиция ФЗ-152 однозначна: если образовательная организация определяет цели и способы обработки — она оператор (ст. 3 ФЗ-152). Передача данных на платформу (например, Google Classroom, «Дневник.ру», Яндекс.Учебник) квалифицируется как поручение обработки по п. 3 ст. 6 ФЗ-152. Для этого требуется письменный договор-поручение с перечнем действий, которые платформа вправе совершать с данными, запретом передачи третьим лицам и обязанностью уничтожения по окончании договора. Без договора-поручения организация несёт ответственность за все нарушения платформы как за собственные.

Отдельная проблема — локализация. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных, расположенных в России. Если работы учащихся хранятся на серверах Google (США) или иного зарубежного провайдера без российского зеркала — это нарушение с 2015 года. Штраф по ч. 8 ст. 13.11 КоАП составляет от 1 000 000 до 6 000 000 ₽, при повторном нарушении — от 6 000 000 до 18 000 000 ₽ по ч. 9.

Прокторинговые системы — ещё один узел риска. Прокторинг с видеозаписью и анализом движений глаз формирует биометрические ПДн учащегося. Хранение этих записей требует: письменного согласия законного представителя (для несовершеннолетних), определения уровня защищённости ИСПДн по ПП РФ №1119 (как правило, УЗ-3 при типе угроз 3 и числе субъектов до 100 000), а также технических мер по Приказу ФСТЭК №21. Отсутствие хотя бы одного из этих элементов — самостоятельное нарушение.

Типовые ситуации: как нарушения возникают на практике

Ситуация 1. Согласие включено в договор об образовательных услугах. Школа или детский центр при зачислении подписывает с родителем договор, в котором один из пунктов гласит «родитель согласен на обработку ПДн ребёнка». С 01.09.2025 такое согласие по ст. 9 ФЗ-152 (ред. ФЗ-156) недействительно: согласие не может быть частью иного документа. Если РКН инициирует проверку по жалобе родителя и установит, что обработка ведётся на основании такого согласия, — протокол по ч. 2 ст. 13.11 (от 300 000 до 700 000 ₽) практически неизбежен. Стратегия: выпустить отдельную форму согласия по реквизитам ст. 9, собрать подписи до 01.09.2025 или немедленно после выявления нарушения.

Ситуация 2. Работы хранятся в Google Classroom без российского зеркала. Частная онлайн-школа использует Google Workspace for Education: задания, ответы учащихся, оценки — всё хранится на серверах Google за рубежом. Организация не уведомила РКН о трансграничной передаче по ст. 12 ФЗ-152 и не обеспечила первичную запись в российской базе данных. При проверке РКН фиксирует нарушение ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 — от 1 000 000 ₽. Если нарушение повторное — от 6 000 000 ₽. Стратегия: перевести первичное хранение на российского облачного провайдера, оформить соглашение о трансграничной передаче с уведомлением РКН, либо перейти на российский аналог платформы.

Ситуация 3. Прокторинговые записи хранятся бессрочно без согласия на биометрию. Университет использует прокторинговый сервис для онлайн-экзаменов. Видеозаписи сессий хранятся на серверах прокторинговой компании 3 года «на случай оспаривания результатов». Письменного согласия на обработку биометрических ПДн нет — студент при регистрации просто нажал галочку «согласен» в интерфейсе платформы. По ст. 11 ФЗ-152 обработка биометрии допустима только при наличии письменного (на бумаге или квалифицированной ЭП) согласия субъекта. Несоблюдение этого требования квалифицируется по ч. 2 ст. 13.11 (300 000–700 000 ₽) или, при признании нарушения систематическим, — по ч. 16 ст. 13.11 (штраф уточняется по тексту КоАП перед публикацией). Стратегия: ввести отдельную письменную форму согласия на биометрию, установить срок хранения записей (не более необходимого для целей аттестации), прописать в договоре с прокторинговым сервисом условия поручения и уничтожения.

Как это применяется на практике

Кейс 1. Частная образовательная организация (Центральный ФО, осень 2025) получила внеплановую проверку РКН по жалобе родителя: согласие на обработку ПДн ребёнка было включено в договор оферты сайта без отдельного документа. Юрист организации обратился в DATUM после получения уведомления о проверке. За три рабочих дня были подготовлены отдельные формы согласий, внесены изменения в уведомление в реестре РКН и оформлен договор-поручение с LMS-платформой. РКН в рамках проверки выдал предписание об устранении нарушения; протокол по ч. 2 ст. 13.11 составлен не был — организация устранила нарушение до завершения проверочных мероприятий.

Кейс 2. Онлайн-школа (Сибирский ФО, начало 2026) хранила видеозаписи прокторинговых экзаменов на серверах зарубежного сервиса. После аудита DATUM было установлено: хранение нарушает ч. 5 ст. 18 ФЗ-152 (локализация), а письменных согласий на биометрию нет. Школа перешла на российского провайдера для хранения записей, ввела бумажные формы согласий на биометрические ПДн и установила срок хранения в 90 дней с момента экзамена. Штраф по ч. 8 ст. 13.11 не был применён — нарушение устранено до возбуждения дела.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка обработки ПДн в образовательной организации по 38 пунктам.
• Комплект ОРД под ключ — формы согласий, договоры-поручения, политика и приказы.
• DPO-аутсорсинг — ответственный за обработку по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Когда нужно согласие родителей на хранение работ учащихся?

Согласие законного представителя требуется всегда, когда хранение ПДн ребёнка не обусловлено исполнением закона (273-ФЗ, архивные нормы) или договором об образовательных услугах. Это касается промежуточных работ, аудио- и видеозаписей занятий, данных в LMS за пределами необходимого срока. С 01.09.2025 согласие по ст. 9 ФЗ-152 (ред. ФЗ-156) должно быть отдельным документом с полными реквизитами — наименованием оператора, целью, перечнем ПДн, сроком хранения и способом отзыва. Включение согласия в текст договора оказания образовательных услуг с этой даты не имеет юридической силы.

2. Можно ли использовать Google Classroom для хранения работ учащихся из России?

Использование Google Classroom допустимо при соблюдении условий локализации по ч. 5 ст. 18 ФЗ-152: первичная запись, систематизация и хранение ПДн граждан РФ обязаны осуществляться на серверах, расположенных в России. Если Google Workspace настроен на хранение данных в российском дата-центре (Google Cloud с регионом «RU») или параллельно используется российская база данных как основная — нарушения нет. Если все данные хранятся на зарубежных серверах без российской копии, обеспечивающей первичность, — нарушение ч. 5 ст. 18 ФЗ-152, штраф по ч. 8 ст. 13.11 КоАП от 1 000 000 ₽.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг, предполагающий видеозапись лица учащегося и анализ движений для идентификации личности, — это обработка биометрических ПДн по ст. 11 ФЗ-152. Для такой обработки требуется письменное согласие субъекта (либо законного представителя для несовершеннолетних), заключённое на бумажном носителе или с использованием квалифицированной электронной подписи. Согласие через галочку на сайте для биометрических ПДн недостаточно. Хранение прокторинговых записей подпадает под требования об уровне защищённости по ПП РФ №1119 и технические меры по Приказу ФСТЭК №21.

4. Кто является оператором ПДн в онлайн-школе?

Оператором по ст. 3 ФЗ-152 признаётся лицо, которое самостоятельно или совместно с другими определяет цели и способы обработки ПДн. В онлайн-школе это, как правило, юридическое лицо — сама школа. Если для ведения учебного процесса привлекается LMS-платформа или прокторинговый сервис, они действуют как лица, осуществляющие обработку по поручению (п. 3 ст. 6 ФЗ-152). Ответственность перед субъектами ПДн и РКН сохраняется за оператором — онлайн-школой, независимо от того, где физически хранятся данные и кто допустил нарушение.

5. Что грозит школе за утечку работ учащихся?

Размер санкции зависит от числа затронутых субъектов. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) штраф для юридического лица — от 3 000 000 до 5 000 000 ₽. При утечке от 10 000 до 100 000 субъектов — от 5 000 000 до 10 000 000 ₽ по ч. 13. Если утекли биометрические данные (прокторинговые записи), санкция по ч. 17 ст. 13.11 составляет от 15 000 000 до 20 000 000 ₽. Дополнительно: неуведомление РКН об утечке в течение 24 часов — штраф от 1 000 000 до 3 000 000 ₽ по ч. 11 ст. 13.11. Все нормы действуют в редакции ФЗ-420 от 30.11.2024 с 30.05.2025.

Итог

Хранение работ учащихся — это обработка ПДн несовершеннолетних, требующая отдельных согласий законных представителей, ограниченных сроков хранения, договоров-поручений с платформами и соблюдения локализации. С 30.05.2025 санкции по ст. 13.11 КоАП существенно выросли: нарушение локализации — от 1 000 000 ₽, обработка биометрии без письменного согласия — до 700 000 ₽, утечка биометрических ПДн — до 20 000 000 ₽. Юрист образовательной организации, который проверяет комплаенс сейчас, а не после проверки РКН, экономит организации в разы больше стоимости аудита.

Практика DATUM сопровождает образовательные организации и EdTech-платформы в части 152-ФЗ: аудит обработки ПДн, формирование комплекта ОРД, проверка договоров-поручений с LMS и прокторинговыми сервисами, сопровождение при взаимодействии с Роскомнадзором.

4 декабря 2028 года