аналитика 14 января 2029 По состоянию на 14 января 2029

Открытые данные вузов: что разрешено

Вуз обязан публиковать сведения о деятельности, но публикация персональных данных преподавателей, студентов и абитуриентов — отдельное правовое основание по 152-ФЗ.

С 30.05.2025 действует обновлённая ст. 13.11 КоАП: неправомерная публикация ПДн без согласия грозит штрафом до 700 тыс. ₽ по ч. 2, а утечка данных более 100 000 субъектов — от 10 до 15 млн ₽ по ч. 14.

→ Если вы юрист образовательной организации и не уверены, какие сведения разрешено размещать публично — этот разбор даёт ответ по каждой категории данных.

Образовательные организации — от школ до федеральных вузов — работают в режиме двойной обязанности: законодательство об образовании требует раскрывать информацию о деятельности, а 152-ФЗ запрещает публиковать персональные данные без правового основания. Для юриста, который ведёт комплаенс вуза или школы, это постоянный источник неопределённости: что именно считать «открытыми данными», а что — нарушением закона о ПДн. Ниже — структурированный разбор по категориям субъектов и типам публикуемых сведений с привязкой к нормам.

Что такое «открытые данные» образовательной организации по российскому праву?

Понятие «открытые данные» в контексте образования формируется на пересечении двух правовых массивов. Первый — Федеральный закон «Об образовании в Российской Федерации» (ФЗ-273), который обязывает образовательные организации размещать на официальном сайте сведения о структуре, образовательных программах, педагогическом составе, материально-техническом обеспечении и результатах деятельности. Второй — ст. 7 ФЗ-152, закрепляющая принцип конфиденциальности: операторы и иные лица, получившие доступ к ПДн, обязаны не раскрывать третьим лицам и не распространять без согласия субъекта.

Ключевое разграничение: обязанность по ФЗ-273 — это правовое основание для обработки обезличенных сведений об организации, а не согласие на публикацию персональных данных конкретных лиц. Вуз вправе опубликовать «кафедра включает 12 преподавателей, из них 8 кандидатов наук» без имён — это сведение об организации. Но список с именами, учёными степенями и должностями — это уже ПДн, обработка которых требует самостоятельного основания по ст. 6 ФЗ-152.

«Ст. 7 ФЗ-152 — оператор и лицо, осуществляющее обработку по поручению, обязаны не раскрывать третьим лицам и не распространять ПДн без согласия субъекта, если иное не предусмотрено федеральным законом.»

Для юриста это означает: каждый элемент сайта вуза с упоминанием физического лица требует отдельной проверки — есть ли основание для публикации именно этого атрибута. Должность и фамилия преподавателя при исполнении служебных обязанностей — допустимы как общедоступные ПДн по ст. 8 ФЗ-152. Фото, домашний адрес, ИНН, семейное положение — нет.

Какие сведения вуз вправе публиковать без согласия субъектов?

Ст. 8 ФЗ-152 определяет общедоступные источники ПДн — справочники, адресные книги и аналогичные источники, создаваемые с согласия субъекта. Помимо этого, ст. 6 ФЗ-152 содержит ряд оснований, по которым согласие не требуется. Для образовательных организаций практически значимы три.

Первое — исполнение договора. Когда вуз заключает договор об оказании образовательных услуг, он вправе обрабатывать ПДн студента в объёме, необходимом для исполнения этого договора (п. 5 ч. 1 ст. 6 ФЗ-152). Но это основание не распространяется на публичное размещение: договор не требует, чтобы оценки студента висели на общедоступном сайте.

Второе — исполнение обязанности по закону. Если федеральный закон прямо предписывает публиковать конкретные ПДн — согласие не нужно. ФЗ-273 требует размещать сведения о педагогических работниках: фамилию, имя, отчество, должность, образование, общий стаж, стаж по специальности, дисциплины. Это исчерпывающий перечень; добавление к нему, например, даты рождения или сведений о наградах — уже требует правового основания.

Третье — распространение с согласия субъекта. Ст. 10.1 ФЗ-152 устанавливает специальный режим для случаев, когда оператор намерен передать ПДн неограниченному кругу лиц. Такое согласие должно быть отдельным документом, а молчание субъекта означает запрет на распространение.

Что проверить юристу перед публикацией сведений на сайте вуза

Есть ли прямая норма федерального закона, обязывающая публиковать именно эти ПДн (ФЗ-273, постановление Правительства о раскрытии).
Если нормы нет — получено ли отдельное согласие по ст. 10.1 ФЗ-152 от каждого субъекта, чьи данные размещаются.
Не выходит ли перечень публикуемых атрибутов за рамки установленного ФЗ-273 минимума (фамилия, должность, образование, стаж, дисциплины).
Проверена ли страница с фотографиями сотрудников: биометрические ПДн требуют письменного согласия по ст. 11 ФЗ-152.
Актуализирован ли реестр уведомлений в РКН: цели, категории субъектов и способы обработки соответствуют фактической практике.

Вуз публикует списки сотрудников или студентов — нужна проверка?

Для юриста образовательной организации типичная проблема — разрыв между тем, что фактически размещено на сайте, и тем, что разрешено по 152-ФЗ. Добавление фотографий, отчества, ИНН или учёной степени за рамками перечня ФЗ-273 — это нарушение, которое фиксируется при плановой проверке РКН. Юристы DATUM проводят аудит сайта и внутренних систем по чек-листу из 38 пунктов и выдают отчёт с приоритизированным планом устранения.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как соотносятся открытые данные и ПДн несовершеннолетних в школах и вузах?

ПДн несовершеннолетних — категория с повышенным режимом защиты. Ст. 9 ФЗ-152 устанавливает: если субъекту не исполнилось 18 лет, согласие на обработку даёт родитель или иной законный представитель. С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн должно быть отдельным документом — его нельзя включать в договор об оказании образовательных услуг, правила пользования сервисом или публичную оферту.

На практике это означает следующее. Школа размещает на своём сайте «Дневник.ру» или аналогичную систему — электронный журнал, доступный родителям. Родитель видит оценки своего ребёнка. Это не публичное размещение, а предоставление доступа законному представителю — правовое основание есть. Но если система позволяет администратору сформировать рейтинговую таблицу с именами учеников и разместить её на публичной части сайта — это обработка ПДн несовершеннолетних без основания, нарушение ст. 9 ч. 6 ФЗ-152 в части требований к согласию.

Отдельный вопрос — ЕГЭ и публикация результатов. Федеральный закон прямо допускает доступ к результатам ЕГЭ через официальные сервисы Рособрнадзора с идентификацией по паспортным данным или СНИЛС. Это не публичная публикация — это предоставление конкретному субъекту. Вуз, который дополнительно размещает на сайте список поступивших с баллами ЕГЭ и именами, рискует: федерального закона, прямо обязывающего это делать, нет, а значит, нужно отдельное согласие по ст. 10.1 ФЗ-152.

«Ст. 9 ч. 6 ФЗ-152 — если субъект ПДн является несовершеннолетним, согласие на обработку его ПДн даёт один из родителей или иной законный представитель.»

Что такое прокторинг с точки зрения 152-ФЗ и когда нужно согласие?

Прокторинг — это система контроля за прохождением онлайн-экзамена, включающая видеозапись лица студента, запись экрана, иногда анализ движений. С точки зрения ФЗ-152 прокторинг затрагивает несколько категорий ПДн одновременно.

Видеозапись лица — биометрические ПДн по ст. 11 ФЗ-152, поскольку изображение позволяет идентифицировать личность. Обработка биометрии допустима только при наличии письменного согласия субъекта (ч. 1 ст. 11 ФЗ-152). Исключения, перечисленные в ч. 2 ст. 11, для образовательных организаций не применяются: прокторинг не связан ни с государственной безопасностью, ни с судопроизводством. Следовательно, письменное согласие студента — обязательное условие применения прокторинга.

Если прокторинговую систему предоставляет внешний провайдер — Google Meet, Экзамус, «Прокторинг.ру» и аналоги, — вуз выступает оператором, а провайдер — лицом, осуществляющим обработку по поручению (п. 3 ст. 6 ФЗ-152). Требования к поручению: письменный договор, перечень действий, обязанность соблюдать конфиденциальность, запрет на самостоятельное использование ПДн студентов. Отсутствие письменного поручения — самостоятельный состав нарушения.

Если провайдер находится за рубежом (сервер или компания), возникает трансграничная передача по ст. 12 ФЗ-152. До начала передачи в страну, не включённую в перечень стран с адекватной защитой, вуз обязан уведомить РКН.

Если юрист вуза видит, что прокторинг работает без письменного согласия студентов или поручение провайдеру не оформлено — нарушение по ч. 2 ст. 13.11 КоАП уже есть. Штраф для образовательной организации — от 300 тыс. до 700 тыс. ₽. Юристы DATUM соберут полный пакет ОРД под ключ.

Собрать ОРД под ключ

Можно ли использовать Google Classroom и зарубежные EdTech-платформы?

С 01.07.2025 действует ужесточённый порядок локализации по ч. 5 ст. 18 ФЗ-152 (ФЗ-233). Запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан Российской Федерации должны осуществляться с использованием баз данных, расположенных на территории РФ. Это правило применяется к первичному сбору: если вуз собирает данные студентов — форма регистрации, личный кабинет, журнал посещаемости — первичная база обязана быть в России.

Google Classroom и аналогичные американские платформы хранят данные на серверах в США или ЕС. Использование таких платформ как основного инструмента обработки учебных ПДн российских студентов создаёт нарушение требования локализации. Штраф по ч. 8 ст. 13.11 КоАП — от 1 млн до 6 млн ₽ для юридического лица; за повторное нарушение — от 6 млн до 18 млн ₽ по ч. 9.

Практический выход, который используют крупные российские вузы: зарубежный инструмент применяется только для функций, не связанных с обработкой ПДн (например, демонстрация лекции без идентификации), тогда как учёт посещаемости, оценок и личных данных ведётся во внутренней системе на российском хостинге. Такая архитектура требует письменной проверки от юриста — граница между «функцией без ПДн» и «функцией с ПДн» на практике размыта.

Типовые ситуации: как это выглядит в практике

Ситуация 1. Вуз публикует приказ о зачислении с полными данными студентов. Уральский федеральный округ, осень 2025. Юрист обнаружил, что приказы о зачислении размещены на сайте в открытом доступе: ФИО, паспортная серия, адрес регистрации. Норма, обязывающая публиковать паспортные данные, в ФЗ-273 отсутствует. После обращения в РКН вузу вынесено предписание об устранении. В отсутствие предыдущих нарушений и при своевременном устранении ситуация не переросла в штраф — применение ст. 4.1.1 КоАП позволило ограничиться предупреждением. Стратегия: немедленное удаление избыточных атрибутов с сайта + актуализация внутреннего регламента о публикациях.

Ситуация 2. Онлайн-школа использует прокторинг без письменного согласия. Центральный федеральный округ, начало 2026. Провайдер прокторинга — иностранная компания, договор-поручение не оформлен. РКН провёл внеплановую проверку по жалобе студента. Протокол составлен по ч. 2 ст. 13.11 КоАП (обработка биометрии без письменного согласия) — диапазон штрафа от 300 тыс. до 700 тыс. ₽. Дополнительно зафиксировано отсутствие уведомления о трансграничной передаче по ст. 12 ФЗ-152. Итог: штраф в сотни тысяч рублей плюс предписание об устранении в течение 30 дней. Стратегия: ввести письменные согласия на биометрию перед каждой сессией прокторинга, оформить поручение с провайдером, подать уведомление в РКН о трансгранике.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка сайта, ОРД и внутренних систем по чек-листу из 38 пунктов.
Комплект ОРД под ключ — политика, согласия студентов и сотрудников, поручения обработчикам, регламент реагирования.
DPO-аутсорсинг — абонентское ведение функции ответственного по ст. 22.1 ФЗ-152.

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие одного из родителей или иного законного представителя обязательно, если субъект ПДн не достиг 18 лет и нет иного правового основания по ст. 6 ФЗ-152 — например, закон прямо не предписывает обрабатывать данные ребёнка без согласия. С 01.09.2025 (ФЗ-156) согласие оформляется отдельным документом: включение в договор об образовательных услугах недопустимо. Форма согласия должна содержать цель, перечень ПДн, перечень действий, срок и способ отзыва — реквизиты по ст. 9 ФЗ-152.

2. Можно ли использовать Google Classroom для обучения российских студентов?

Использование зарубежных платформ как основной системы обработки ПДн российских студентов нарушает требование локализации по ч. 5 ст. 18 ФЗ-152 (в редакции ФЗ-233, с 01.07.2025). Штраф — от 1 млн до 6 млн ₽ по ч. 8 ст. 13.11 КоАП. Если платформа применяется только для демонстрации контента без сбора и хранения ПДн, риск снижается — но границу нужно зафиксировать в письменном регламенте и проверить архитектуру хранения данных.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с видеозаписью лица — обработка биометрических ПДн по ст. 11 ФЗ-152. Требует отдельного письменного согласия студента перед каждой сессией. Если провайдер прокторинга — внешняя организация, вуз обязан оформить с ней письменное поручение по п. 3 ст. 6 ФЗ-152 с перечнем допустимых действий и запретом самостоятельного использования данных. При передаче данных иностранному провайдеру — уведомление РКН о трансграничной передаче.

4. Кто является оператором ПДн в онлайн-школе?

Оператор — организация или физическое лицо, самостоятельно или совместно с другими определяющее цели и содержание обработки ПДн (ст. 3 ФЗ-152). В онлайн-школе оператором является сама школа как юридическое лицо. Платформа, через которую идут занятия (LMS, мессенджер), — лицо, осуществляющее обработку по поручению, если с ней оформлен соответствующий договор. Без письменного поручения платформа фактически выступает самостоятельным оператором, что создаёт риск нарушения ст. 6 ФЗ-152 у обоих участников.

5. Что грозит школе или вузу за утечку ПДн студентов?

Размер штрафа зависит от числа пострадавших субъектов. По ч. 12 ст. 13.11 КоАП (утечка от 1 000 до 10 000 субъектов) — от 3 млн до 5 млн ₽. По ч. 14 (более 100 000 субъектов) — от 10 млн до 15 млн ₽. Дополнительно — штраф по ч. 11 за неуведомление РКН в течение 24 часов: от 1 млн до 3 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Все составы действуют с 30.05.2025 в редакции ФЗ-420 от 30.11.2024.

Итог

Образовательная организация работает в зоне постоянного пересечения двух обязанностей: раскрывать информацию по ФЗ-273 и защищать ПДн по 152-ФЗ. Граница проходит по конкретному перечню атрибутов — что именно закон обязывает публиковать, а что выходит за рамки этой обязанности и требует согласия субъекта. Прокторинг, зарубежные EdTech-платформы, системы типа «Дневник.ру» и публикации с именами студентов — каждый из этих инструментов создаёт отдельный правовой риск.

Юристы DATUM сопровождают образовательные организации в части 152-ФЗ: проводят аудит сайта и внутренних систем, собирают пакет ОРД с учётом специфики EdTech, ведут функцию ответственного по ст. 22.1 на аутсорсинге и представляют интересы при проверках РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовании: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech-платформы, 323-ФЗ × 152-ФЗ.