аналитика 11 февраля 2030 года По состоянию на 11 февраля 2030 года

Кибершкола и ПДн

Кибершкола — оператор персональных данных несовершеннолетних и их родителей. Это означает специальный режим согласий, повышенную ответственность за утечку и обязательную документацию по ст. 18.1 ФЗ-152.

С 30.05.2025 утечка данных от 1 000 субъектов влечёт штраф от 3 до 5 млн ₽ по ч. 12 ст. 13.11 КоАП. Повторная утечка — оборотный штраф до 500 млн ₽ по ч. 15. Если юрист проверяет комплаенс онлайн-школы — типовых рисков здесь не меньше десяти.

→ Разобрали ключевые нормы: согласие родителей, прокторинг, иностранные платформы, ответственность за утечку.

Кибершколы, EdTech-платформы и дополнительное онлайн-образование работают с данными учеников, родителей и педагогов ежедневно. Личные кабинеты, журналы успеваемости, видеоуроки с биометрией через прокторинг — каждый элемент инфраструктуры создаёт правовые обязательства по ФЗ-152. В 2025 году РКН зафиксировал 118 случаев компрометации баз данных. Для юриста, проверяющего образовательную организацию, ключевые риски сосредоточены в трёх точках: порядок получения согласий, технические платформы и реагирование на инциденты.

Почему ПДн несовершеннолетних требуют особого режима?

Персональные данные детей до 18 лет не выделены в отдельную категорию ФЗ-152 напрямую, однако их обработка подпадает под специальные требования к согласию. Согласие на обработку ПДн несовершеннолетнего до 14 лет даёт законный представитель — родитель или опекун. Это прямо следует из ст. 9 ФЗ-152: дееспособность субъекта определяет, кто подписывает документ.

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом — его нельзя включать в договор об образовательных услугах, в правила пользования платформой или в оферту. Кибершкола, которая до 01.09.2025 размещала согласие в теле договора с родителем, обязана перейти на отдельную форму для всех новых отношений. Ранее полученные согласия, соответствующие прежним требованиям, обратной силы закона не имеют — переоформлять их не требуется.

«Ст. 9 ч. 6 ФЗ-152 — если субъект персональных данных является несовершеннолетним, не достигшим 14 лет, согласие на обработку его данных даёт законный представитель.»

На практике это означает: форма согласия на сайте кибершколы должна содержать поля для данных родителя (законного представителя), его контактных данных и явного указания, что он действует за ребёнка. Если школа собирает данные ребёнка без согласия родителя — это нарушение ч. 2 ст. 13.11 КоАП с санкцией от 300 000 до 700 000 ₽.

Какие данные кибершколы относятся к специальным категориям?

Обычные ПДн ученика — имя, дата рождения, контактные данные, сведения об успеваемости. Они обрабатываются на основании согласия (ст. 6 ФЗ-152) или договора об образовательных услугах.

Специальные категории по ст. 10 ФЗ-152 возникают, когда кибершкола собирает данные о состоянии здоровья (например, справки об ОВЗ для адаптированных программ), религиозных или философских взглядах (воскресные школы, религиозное образование). По общему правилу обработка таких данных запрещена без явного письменного согласия с указанием конкретной цели.

Отдельный вопрос — биометрические данные при прокторинге. Если система онлайн-контроля использует распознавание лица или голоса для идентификации ученика, это биометрические ПДн по ст. 11 ФЗ-152. Для их обработки требуется письменное согласие — и, если ученику нет 14 лет, подписывает его родитель.

«Ст. 11 ФЗ-152 — биометрические ПДн (изображение лица, голос) обрабатываются только при наличии письменного согласия субъекта, за исключением случаев, прямо установленных законом.»

Проверяете комплаенс образовательной организации?

Если юрист оценивает соответствие кибершколы требованиям ФЗ-152 — типовой пакет нарушений включает не менее 8 позиций: от формы согласия родителей до договора с иностранной платформой. До начала проверки РКН есть время устранить их систематически. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — система дистанционного контроля за прохождением тестов и экзаменов. С точки зрения ФЗ-152 она объединяет несколько видов данных одновременно: видеозапись лица (биометрия), запись голоса (биометрия), данные об активности на экране (технические данные), геолокацию (при ряде систем).

Ключевой вопрос — роль кибершколы. Если платформа прокторинга — сторонний сервис, школа передаёт ему данные учеников по поручению. Это поручение должно быть оформлено договором с перечнем обрабатываемых данных, целей и мер защиты (п. 3 ст. 6 ФЗ-152). Без такого договора школа несёт ответственность за действия подрядчика перед РКН.

Дополнительно: прокторинг во время ЕГЭ регулируется отдельными актами Минпросвещения и Рособрнадзора. Но для внутреннего контроля кибершколы нормы ФЗ-152 применяются в полном объёме.

«П. 3 ст. 6 ФЗ-152 — оператор вправе поручить обработку ПДн другому лицу на основании договора. Ответственность перед субъектом за действия обработчика несёт оператор.»

Можно ли использовать Google Classroom, Zoom и другие иностранные платформы?

Это один из самых частых вопросов при проверке EdTech-компаний. Ответ зависит от нескольких факторов.

Первый — локализация. По ч. 5 ст. 18 ФЗ-152 запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных, расположенных в России. Это требование действует с 01.09.2015. Если Google Classroom хранит данные российских учеников на серверах в ЕС или США — формально возникает нарушение локализации (ч. 8 ст. 13.11 КоАП, штраф 1–6 млн ₽).

Второй — трансграничная передача. Если данные передаются в страну, не входящую в перечень стран с адекватной защитой ПДн (Приказ РКН), оператор обязан уведомить РКН до передачи (ст. 12 ФЗ-152). США в этом перечне нет.

Третий — договор с платформой. Даже если школа использует платформу только как инструмент (без хранения данных на её серверах), потребуется соглашение об обработке данных по поручению с перечнем мер защиты.

На практике многие кибершколы используют Zoom и Google-инструменты. Риск-менеджмент в этом случае включает: минимизацию передаваемых данных (имя-псевдоним вместо реального), уведомление РКН о трансграничной передаче, отдельное согласие с указанием иностранной платформы как получателя данных.

Что подготовить юристу кибершколы

Отдельные согласия родителей (законных представителей) на обработку ПДн детей до 14 лет — по новой форме ФЗ-156 для отношений с 01.09.2025.
Договоры-поручения с операторами прокторинга, облачных платформ и LMS — с перечнем обрабатываемых данных и мерами защиты (п. 3 ст. 6 ФЗ-152).
Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) или актуализация сведений в реестре операторов — если используется иностранная платформа.
Политику конфиденциальности с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — размещённую на сайте в открытом доступе.
Регламент реагирования на утечку: процедура на 24 часа (первичное уведомление РКН) и 72 часа (отчёт по Приказу РКН №187).

Как дневник.ру и электронные журналы влияют на обработку ПДн?

Дневник.ру, электронный журнал и подобные государственные и коммерческие сервисы — отдельные операторы ПДн. Школа, передающая данные учеников в такой сервис, выступает оператором, поручающим обработку третьей стороне. Правовое основание передачи должно быть явным: либо согласие родителя с указанием сервиса как получателя, либо договор-поручение.

Для государственных систем (ЕГИСЗ, федеральные реестры) основанием может служить исполнение законодательно установленных обязанностей (п. 2 ч. 1 ст. 6 ФЗ-152) — в этом случае согласие не требуется. Но для коммерческих сервисов это исключение не действует.

Типичные сценарии нарушений и их последствия

Сценарий 1. Согласие включено в договор с родителем. Кибершкола использует стандартный договор оказания образовательных услуг, в последнем разделе которого содержится пункт о согласии на обработку ПДн. С 01.09.2025 по ФЗ-156 такая конструкция нарушает требование об отдельном документе. Доказательства нарушения: форма договора на сайте + дата заключения после 01.09.2025. Вероятный исход: штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽. Стратегия: разделить документы, ввести отдельную форму согласия до начала обработки.

Сценарий 2. Прокторинг без договора с подрядчиком. Кибершкола подключила сервис онлайн-контроля через API без оформления договора-поручения. Данные учеников (в том числе биометрия) передаются подрядчику без правового основания. Доказательства: техническая документация и отсутствие договора в реестре ОРД. Вероятный исход: нарушение ст. 11 ФЗ-152 + ч. 16 ст. 13.11 КоАП за биометрию без письменного согласия. Стратегия: оформить договор-поручение, получить отдельные согласия на биометрическую обработку.

Сценарий 3. Утечка базы учеников через уязвимость LMS. В результате атаки на сервер утекли данные 3 000 учеников — имена, email, телефоны родителей. Кибершкола не уведомила РКН в течение 24 часов. Вероятный исход: штраф по ч. 12 ст. 13.11 КоАП (3–5 млн ₽ за объём от 1 000 до 10 000 субъектов) плюс штраф по ч. 11 за неуведомление (1–3 млн ₽). Стратегия: внедрить регламент реагирования, назначить ответственного по ст. 22.1 ФЗ-152, настроить мониторинг аномалий.

Если юрист обнаружил нарушения в ОРД кибершколы — на устранение до проверки РКН может оставаться от нескольких дней до нескольких недель. Срок уведомления об утечке — 24 часа, он не восстанавливается. Юристы DATUM соберут 38-документный пакет ОРД под ключ: политика, согласия, приказы, регламент реагирования, журналы.

Собрать ОРД под ключ

Как это применяется на практике

Кейс 1. Онлайн-школа дополнительного образования (Уральский ФО, начало 2026). Юрист при проведении внутреннего аудита обнаружил: согласия на обработку ПДн учеников включены в типовой договор с родителями, отдельного документа нет. Школа также передавала данные в платформу прокторинга без договора-поручения. После аудита DATUM был разработан новый пакет согласий и заключены договоры с тремя подрядчиками. Проверка РКН, начатая по плановому индикатору, не выявила нарушений по указанным позициям. Штрафы не назначались.

Кейс 2. Согласно публично известному делу о первых штрафах по новым нормам ст. 13.11 КоАП (АС Москвы, дело № А40-351064/2025), образовательная организация — Российская электронная школа — была привлечена к ответственности за утечку данных более 100 000 субъектов по ч. 14 ст. 13.11 КоАП. Применение норм о малом предприятии позволило снизить штраф до 400 000 ₽, однако сам прецедент показывает: образовательные операторы входят в зону активного внимания регулятора. Для коммерческих кибершкол аналогичного смягчения ожидать не следует.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка по 38 пунктам, отчёт с планом устранения нарушений.
Комплект ОРД под ключ — пакет документов для образовательной организации, включая согласия родителей и договоры-поручения.
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании.

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя (родителя или опекуна) обязательно при обработке ПДн ребёнка до 14 лет — это прямое требование ст. 9 ч. 6 ФЗ-152. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025): нельзя включать его в договор об образовательных услугах или правила платформы. Для детей от 14 до 18 лет согласие подписывает сам ученик, родитель — при необходимости в силу других норм (например, при обработке специальных категорий).

2. Можно ли использовать Google Classroom?

Использование возможно при соблюдении ряда условий. Хранение ПДн российских учеников за рубежом нарушает требование локализации по ч. 5 ст. 18 ФЗ-152 (штраф 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП). Передача данных в США требует уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152. Минимизация рисков: использовать псевдонимизированные данные, не передавать специальные категории, заключить соглашение о порядке обработки с платформой.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с видеоидентификацией лица или голоса — это обработка биометрических ПДн по ст. 11 ФЗ-152. Кибершкола обязана получить письменное согласие субъекта (для детей до 14 лет — родителя), а отношения с платформой прокторинга оформить договором-поручением по п. 3 ст. 6 ФЗ-152. Без этих документов возникает нарушение ч. 16 ст. 13.11 КоАП.

4. Кто является оператором в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является юридическое лицо или ИП, которое организует обработку ПДн и определяет её цели и состав. В кибершколе это, как правило, сама организация (ООО, АНО, ИП). Платформа LMS или сервис прокторинга — обработчики по поручению, если данные передаются им по договору. Если платформа определяет цели самостоятельно, она становится самостоятельным оператором — и ответственность распределяется иначе.

5. Что грозит школе за утечку ПДн?

Размер санкции зависит от масштаба. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (в редакции с 30.05.2025). Утечка от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Свыше 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно: неуведомление РКН в течение 24 часов — ещё 1–3 млн ₽ по ч. 11. Повторная утечка влечёт оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.

Итог

Кибершкола как оператор ПДн несовершеннолетних работает в условиях повышенных требований: специальный порядок согласий, ограничения на биометрию при прокторинге, риски трансграничной передачи при использовании иностранных платформ. Совокупный штраф при утечке и нарушении порядка уведомления может превысить 8 млн ₽ при первом инциденте.

DATUM сопровождает образовательные организации в части ФЗ-152: от аудита и подготовки ОРД до защиты в арбитраже при штрафе по ст. 13.11 КоАП. Практика по образовательному сектору ведётся с 2014 года.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.