инструкция 21 ноября 2026 По состоянию на 21 ноября 2026

Образовательные организации: уведомление РКН

Каждая образовательная организация, обрабатывающая персональные данные учащихся, родителей и сотрудников, обязана уведомить Роскомнадзор и поддерживать реестровые сведения в актуальном состоянии.

С 30.05.2025 неуведомление или несвоевременное уведомление РКН о намерении обрабатывать ПДн влечёт штраф до 300 000 ₽ по ч. 10 ст. 13.11 КоАП. Согласия родителей и сотрудников с 01.09.2025 оформляются отдельным документом по ФЗ-156 от 24.06.2025.

→ Если вы юрист образовательной организации и не уверены, подано ли уведомление и актуален ли пакет ОРД — эта инструкция даёт пошаговый порядок.

Школы, университеты, детские сады и EdTech-платформы обрабатывают данные трёх категорий субъектов одновременно: несовершеннолетних учащихся, их родителей и педагогических работников. Это создаёт повышенные требования к правовому основанию обработки, составу согласий и документальному оформлению. Инструкция охватывает все ключевые шаги: от проверки статуса в реестре операторов до назначения ответственного по ст. 22.1 ФЗ-152 и актуализации согласий после 01.09.2025.

Шаг 1. Проверьте статус организации в реестре операторов РКН

Реестр операторов ПДн ведёт Роскомнадзор на портале pd.rkn.gov.ru. Образовательная организация должна быть включена в реестр до начала обработки персональных данных. На практике многие школы и вузы поданы под устаревшими сведениями: устаревшие цели обработки, не отражены КЭДО или системы дистанционного обучения, не указана передача данных в ФГИС «Моя школа» или ЕГИСЗ.

«Ст. 22 ФЗ-152 обязывает оператора уведомить уполномоченный орган (РКН) о намерении осуществлять обработку ПДн до начала такой обработки. Форма уведомления утверждена Приказом РКН № 180 от 28.10.2022.»

Проверьте три параметра в реестре: наличие организации по ИНН, соответствие перечня целей обработки фактической деятельности, актуальность сведений об ИСПДн и трансграничной передаче. Если сведения устарели — подайте уведомление об изменении через pd.rkn.gov.ru с УКЭП или через ЕСИА. Срок включения в реестр после подачи — 30 дней (ч. 4 ст. 22 ФЗ-152).

Что проверить в реестре

Наличие организации в реестре по ИНН или ОГРН на pd.rkn.gov.ru
Соответствие перечня целей и категорий ПДн фактической обработке
Указание всех ИСПДн, включая LMS, системы прокторинга, КЭДО
Актуальность сведений о трансграничной передаче (если используются зарубежные сервисы)
Наличие сведений об ответственном за обработку по ст. 22.1 ФЗ-152

Шаг 2. Составьте или актуализируйте политику обработки персональных данных

Политика обработки ПДн — обязательный публичный документ по ч. 2 ст. 18.1 ФЗ-152. Для образовательной организации она должна отражать специфику: обработку данных несовершеннолетних, передачу в государственные информационные системы (ФГИС «Моя школа», ЕГРЮЛ, ФИС ФРДО), а также использование платформ дистанционного обучения.

«Ч. 2 ст. 18.1 ФЗ-152 требует, чтобы политика содержала: цели и правовые основания обработки, перечень обрабатываемых ПДн, порядок и условия обработки, права субъектов, порядок уничтожения при достижении целей.»

Типовой шаблон из интернета не подходит: в нём не отражены цели, характерные для образования, — оформление льгот, участие в олимпиадах, передача в органы опеки. Политика размещается в открытом доступе на сайте организации. Отсутствие или неопубликование политики — нарушение по ч. 3 ст. 13.11 КоАП, штраф до 60 000 ₽.

Юрист ещё не проверял политику конфиденциальности организации?

Политика, скопированная с чужого сайта или сформированная в онлайн-генераторе, не закрывает риски образовательной организации. В ней нет целей передачи данных в ФГИС, оснований обработки ПДн несовершеннолетних и порядка реагирования на запросы родителей. Любой из этих пробелов — готовое основание для штрафа при проверке РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Подготовьте согласия субъектов по требованиям ФЗ-156 от 24.06.2025

С 01.09.2025 согласие на обработку персональных данных оформляется отдельным документом — его нельзя включать в договор об образовательных услугах, анкету или форму записи. Это требование введено ФЗ-156 от 24.06.2025, внёсшим изменения в ч. 1 ст. 9 ФЗ-152. Ранее выданные согласия, полученные до 01.09.2025, переоформлять не требуется — обратной силы у поправки нет.

«Ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156): согласие субъекта ПДн оформляется отдельным документом, не объединённым с другими соглашениями. Обязательные реквизиты: ФИО субъекта, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва.»

Для образовательной организации согласия нужны в трёх ситуациях. Первая — обработка ПДн несовершеннолетних до 14 лет: согласие даёт законный представитель (родитель, опекун). Вторая — обработка специальных категорий ПДн (состояние здоровья, льготный статус) по ст. 10 ФЗ-152. Третья — публикация фотографий, видео с мероприятий и иное распространение по ст. 10.1 ФЗ-152: здесь нужно отдельное согласие с явным указанием на распространение. Обработка без письменного согласия, когда оно требуется, — нарушение по ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽.

Шаг 4. Назначьте ответственного за организацию обработки персональных данных

Организация-юрлицо обязана назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Это не обязательно отдельная штатная единица: ответственным может быть юрист, специалист по защите информации или иной сотрудник при наличии соответствующей квалификации. Назначение оформляется приказом руководителя.

«Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к лицу, ответственному за организацию обработки: оно не должно действовать в интересах оператора вопреки интересам субъектов ПДн, обязано принимать меры по обеспечению соблюдения требований закона.»

Ответственный обязан: обеспечить ознакомление работников с требованиями ФЗ-152 и локальными актами, организовать приём и обработку обращений субъектов в сроки по ст. 20 ФЗ-152 (10 рабочих дней с возможностью продления на 5 рабочих дней), контролировать актуальность уведомления в реестре РКН. При аутсорсинге функции ответственного — поручение оформляется договором с внешним DPO по ст. 6 ч. 3 ФЗ-152.

Если в организации нет штатного сотрудника с квалификацией для функции ответственного по ст. 22.1 — это решается через DPO-аутсорсинг. Срок подключения — 5 рабочих дней, стоимость от 30 000 ₽/месяц.

Подключить DPO-аутсорс

Шаг 5. Сформируйте пакет ОРД и внутренних регламентов

Организационно-распорядительная документация — основа для прохождения проверки РКН. Для образовательной организации минимальный пакет включает: политику обработки ПДн, положение об обработке ПДн работников, согласия субъектов (раздельно по целям), приказ о назначении ответственного, перечень лиц, допущенных к обработке, регламент реагирования на инциденты, инструкцию по уничтожению ПДн.

Два документа требуют особого внимания. Первый — договор-поручение с каждым обработчиком по ст. 6 ч. 3 ФЗ-152: это платформы LMS, системы прокторинга, сервисы рассылок. Без договора-поручения передача данных в эти системы — нарушение условий обработки. Второй — журнал учёта обращений субъектов: фиксирует входящие запросы родителей и сотрудников с датами и результатами рассмотрения.

«Ст. 18.1 ФЗ-152 обязывает оператора принимать меры, обеспечивающие соблюдение требований закона: назначение ответственного, применение правовых, организационных и технических мер, проведение внутреннего контроля, оценка вреда субъектам, ознакомление работников.»

Как образовательные организации отвечают за нарушения: практические ситуации

Ситуация 1. Школа передаёт персональные данные учащихся (ФИО, дата рождения, СНИЛС) в региональный орган управления образованием через незащищённый канал. Законное основание — исполнение публично-правовых обязанностей по ст. 6 ч. 2 ФЗ-152, однако технические меры защиты не соответствуют уровню защищённости УЗ-3, определённому по ПП РФ № 1119. РКН при проверке квалифицирует это как нарушение ст. 19 ФЗ-152 — отсутствие надлежащих технических мер. Стратегия: до проверки провести оценку уровня защищённости и устранить технические пробелы.

Ситуация 2. EdTech-платформа использует зарубежный сервис аналитики (передача данных в страну вне перечня РКН об адекватной защите) без уведомления РКН по ст. 12 ФЗ-152. Трансграничная передача фиксируется при плановой проверке. Штраф по ч. 8 ст. 13.11 КоАП за нарушение локализации составляет от 1 до 6 млн ₽. Стратегия: до перехода на зарубежный сервис подать уведомление о трансграничной передаче и проверить, обеспечивает ли страна-получатель адекватную защиту.

Ситуация 3. Университет проводит прокторинг с биометрической идентификацией студентов без письменного согласия. Биометрические ПДн (изображение лица) требуют отдельного письменного согласия по ст. 11 ФЗ-152. Обработка без согласия — нарушение ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽ за каждый эпизод. Стратегия: включить подписание письменного согласия на биометрию в процедуру регистрации на прокторинг, обеспечить хранение согласий.

Частые вопросы

1. Какие документы должны быть у оператора ПДн в образовательной организации?

Минимальный пакет: политика обработки ПДн (ч. 2 ст. 18.1 ФЗ-152) с публикацией на сайте, согласия субъектов по ст. 9 ФЗ-152 в редакции с 01.09.2025, приказ о назначении ответственного по ст. 22.1, положение об обработке ПДн работников, договоры-поручения с обработчиками (LMS, системы прокторинга), журнал учёта обращений субъектов. Наличие уведомления в реестре РКН по ст. 22 ФЗ-152 — обязательное условие.

2. Как составить политику обработки ПДн для школы или вуза?

Политика должна содержать разделы, перечисленные в ч. 2 ст. 18.1 ФЗ-152: цели и правовые основания обработки, категории субъектов и перечень ПДн, условия передачи третьим лицам (включая передачу в ФГИС «Моя школа», ФИС ФРД О, органы опеки), сроки хранения, права субъектов и порядок их реализации. Шаблон из интернета не подходит, поскольку не учитывает специфику конкретной организации: набор ИСПДн, перечень обработчиков, особенности обработки ПДн несовершеннолетних.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Ответственным может быть любой сотрудник с достаточной квалификацией: юрист, специалист по защите информации, заместитель руководителя. Требований к наличию профильного образования закон не устанавливает, но ч. 4 ст. 22.1 ФЗ-152 предъявляет требования к независимости: ответственный не должен действовать в интересах оператора в ущерб субъектам. Если штатного кандидата нет — функция передаётся внешнему DPO по договору.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Нет. Типовые шаблоны не отражают специфику образовательной деятельности: передачу данных в государственные информационные системы, основания обработки ПДн несовершеннолетних, порядок согласования с законными представителями. РКН при проверке оценивает соответствие политики фактической обработке: несоответствие фиксируется как нарушение ч. 3 ст. 13.11 КоАП со штрафом до 60 000 ₽.

5. Какие согласия нужны после 01.09.2025 по ФЗ-156?

После 01.09.2025 все согласия на обработку ПДн, требующие письменной формы, оформляются отдельным документом — не включаются в договор, анкету или оферту. Для образовательной организации это согласия на обработку ПДн несовершеннолетних (от законных представителей), на обработку специальных категорий (здоровье, льготный статус по ст. 10 ФЗ-152), на распространение (публикация фото и видео по ст. 10.1 ФЗ-152). Ранее полученные согласия переоформлять не нужно: ФЗ-156 обратной силы не имеет.

6. Что проверяет РКН при плановой проверке образовательной организации?

При плановой проверке инспекторы РКН запрашивают: выписку из реестра операторов, политику обработки ПДн с актуальными данными, образцы согласий субъектов, приказ о назначении ответственного, договоры-поручения с обработчиками, журнал обращений субъектов. Отдельно проверяется соответствие фактической обработки сведениям, указанным в реестре. Расхождение между реестровыми данными и реальной деятельностью — наиболее частое нарушение по итогам проверок 2024–2025 годов.

Итог

Уведомление РКН — точка входа в статус оператора ПДн, но не конечная цель. Образовательная организация обязана поддерживать реестровые сведения актуальными, формировать пакет ОРД с учётом специфики обработки данных несовершеннолетних, переоформить новые согласия по требованиям ФЗ-156 с 01.09.2025 и назначить ответственного по ст. 22.1 ФЗ-152. Совокупность этих мер закрывает основные риски по ст. 13.11 КоАП в редакции с 30.05.2025.

Юристы DATUM сопровождают образовательные организации — от школ до EdTech-платформ — в части соответствия 152-ФЗ: уведомление РКН, комплект ОРД, аудит согласий, аутсорсинг функции ответственного.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка уведомления, ОРД и согласий по чек-листу из 38 пунктов
Комплект ОРД под ключ — полный пакет документов с учётом специфики образовательной деятельности
DPO-аутсорсинг — функция ответственного по ст. 22.1 на абонентском обслуживании

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, ФГИС «Моя школа».

21 ноября 2026 года