Перейти к содержанию
аналитика 3 февраля 2029 По состоянию на 3 февраля 2029

ПДн родителей в школе

Персональные данные родителей — самостоятельная категория ПДн. Школа обрабатывает их на основаниях ст. 6 ФЗ-152 отдельно от данных ребёнка. Смешение оснований — типичная ошибка, которую фиксирует Роскомнадзор при проверке.
С 01.09.2025 согласие родителя оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156. Включить его в трудовой договор или заявление о зачислении нельзя. За нарушение — штраф 300 000–700 000 ₽ по ч. 2 ст. 13.11 КоАП.
→ Если вы юрист образовательной организации и не уверены в актуальности пакета согласий — прочитайте этот разбор перед следующей проверкой РКН.

Школы и организации дополнительного образования занимают отдельное место в практике Роскомнадзора: они обрабатывают данные несовершеннолетних и их представителей одновременно, что автоматически создаёт риск по ч. 2 ст. 13.11 КоАП. По данным РКН за 2024 год зафиксировано более 135 случаев компрометации баз данных; образовательный сектор входит в топ-5 проверяемых отраслей. В этом материале — разбор оснований обработки, требований к согласиям родителей, специфики EdTech-инструментов и готовая карта рисков для юриста организации.

Что именно относится к ПДн родителей и на каком основании школа вправе их обрабатывать?

Персональные данные родителя — любая информация, позволяющая его идентифицировать: ФИО, контактный телефон, email, паспортные реквизиты, место работы, сведения о составе семьи. Школа получает их при зачислении, в ходе учебного процесса и при взаимодействии с классным руководителем. Каждое из этих взаимодействий требует самостоятельного правового основания по ст. 6 ФЗ-152.

Основные применимые основания — три. Первое: исполнение договора об оказании образовательных услуг, стороной которого выступает родитель как законный представитель (п. 5 ч. 1 ст. 6 ФЗ-152). Второе: исполнение обязанности, возложенной законом, — например, передача данных в органы опеки или ведение федеральных реестров (п. 2 ч. 1 ст. 6). Третье: согласие субъекта — для всех целей, не охваченных первыми двумя основаниями: рассылки, публикации на сайте, участие в мероприятиях третьих лиц (п. 1 ч. 1 ст. 6).

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки ПДн. Обработка без правового основания образует состав ч. 1 ст. 13.11 КоАП — штраф для юрлица 150 000–300 000 ₽ в редакции с 30.05.2025.»

Частая ошибка — использовать согласие родителя на обработку данных ребёнка как универсальный документ, покрывающий и собственные данные родителя. Это два разных субъекта, два самостоятельных документа. Смешение составов лишает школу правового основания для обработки данных родителя и создаёт риск по ч. 1 и ч. 2 ст. 13.11 одновременно.

Как изменились требования к согласиям родителей с 01.09.2025?

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: согласие на обработку ПДн оформляется отдельным документом. Его нельзя включать в заявление о зачислении, в договор об оказании услуг, в оферту или в анкету участника мероприятия. Каждый документ, содержащий согласие, — самостоятельный, подписанный субъектом отдельно.

Обязательные реквизиты согласия по ст. 9 ФЗ-152 остались прежними: ФИО субъекта, его контактные данные, наименование оператора (школы), цель обработки, перечень обрабатываемых ПДн, перечень действий, срок и способ отзыва. Теперь добавляется требование отдельной формы — без смешения с иными правоотношениями.

«По ч. 2 ст. 13.11 КоАП обработка ПДн без письменного согласия или с нарушением требований к его составу влечёт штраф для юрлица 300 000–700 000 ₽. При повторном нарушении по ч. 2.1 — 1 000 000–1 500 000 ₽.»

Согласия, полученные до 01.09.2025, обратной силы не имеют: ФЗ-156 не требует их переоформления, если они отвечали прежним требованиям на момент подписания. Однако если школа принимает новые заявления о зачислении или заключает договоры после 01.09.2025 — согласие на обработку ПДн родителя обязано быть отдельным документом.

Согласия родителей проверял юрист или составлял администратор по образцу из интернета?

Если юрист образовательной организации не проверял пакет согласий после 01.09.2025 — каждый новый договор об образовательных услугах создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок между проверкой и предписанием РКН — от 30 дней после уведомления о плановой проверке. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Дневник.ру, Google Classroom и ЕГЭ: где возникает трансграничная передача и риск локализации?

Образовательные организации активно используют сторонние сервисы — Дневник.ру, Яндекс.Учебник, а также зарубежные платформы Google Classroom, Microsoft Teams for Education. Каждая из них — потенциальный обработчик по поручению в рамках п. 3 ч. 1 ст. 6 ФЗ-152, и для каждой необходим отдельный договор поручения с условиями обработки по ч. 3 ст. 6.

Если платформа размещена на серверах за рубежом и через неё передаются данные граждан РФ, возникает обязанность соблюдения ч. 5 ст. 18 ФЗ-152 (локализация): запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан России должны осуществляться в базах, расположенных на территории РФ. За нарушение — штраф по ч. 8 ст. 13.11 КоАП 1 000 000–6 000 000 ₽.

«Трансграничная передача в страны без адекватной защиты ПДн требует предварительного уведомления РКН по ст. 12 ФЗ-152. Перечень стран с адекватной защитой утверждён приказом РКН. Нарушение — самостоятельный риск при использовании зарубежных EdTech-платформ.»

При проведении ЕГЭ и ОГЭ передача данных учащихся и их представителей в ФГБУ «ФЦТ» и региональные центры обработки информации — законная обязанность по п. 2 ч. 1 ст. 6. Согласие родителей на эту передачу не требуется. Однако если школа передаёт данные в иные организации, не предусмотренные НПА (репетиторские сервисы, маркетинговые платформы), — правовым основанием служит только согласие, оформленное по ст. 9 ФЗ-152.

Что подготовить юристу школы к проверке РКН

  • Выписку из реестра операторов ПДн с pd.rkn.gov.ru — актуальную, с отражением всех целей обработки данных родителей
  • Отдельные согласия родителей по ст. 9 ФЗ-152 в редакции ФЗ-156 — для каждой цели, не покрытой законным основанием
  • Договоры поручения с каждым сторонним сервисом (Дневник.ру, платформы ЕГЭ, иные EdTech-операторы) по ч. 3 ст. 6 ФЗ-152
  • Политику обработки ПДн на сайте школы с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152

Прокторинг и биометрия несовершеннолетних: в чём специфика по 152-ФЗ?

Прокторинг при дистанционном обучении или онлайн-экзаменах в большинстве реализаций предполагает обработку биометрических ПДн — изображения лица учащегося в режиме реального времени. По ст. 11 ФЗ-152 биометрические ПДн обрабатываются только с письменного согласия субъекта. Если субъект — несовершеннолетний до 14 лет, согласие даёт законный представитель (родитель или опекун).

Согласие на биометрию не объединяется с общим согласием на обработку ПДн. Это отдельный документ. Прокторинговый сервис при этом выступает обработчиком по поручению школы: школа остаётся оператором и несёт ответственность за то, как сервис хранит и обрабатывает биометрию учащихся.

«Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта. За обработку без такого согласия — ч. 16 ст. 13.11 КоАП. За утечку биометрии — ч. 17 ст. 13.11 КоАП: штраф 15 000 000–20 000 000 ₽ для юрлица.»

Отдельного внимания требует ПДн несовершеннолетних как таковых. ФЗ-152 не выделяет данные детей в самостоятельную категорию (в отличие от GDPR), однако РКН при проверках образовательных организаций рассматривает любую обработку данных детей с повышенным вниманием: проверяется дееспособность субъекта согласия (родитель или сам ребёнок в зависимости от возраста), корректность перечня ПДн и соответствие цели.

Если юрист проверяет документы онлайн-школы или EdTech-платформы — особое внимание к прокторингу: каждое несоответствие в согласии на биометрию несовершеннолетнего формирует состав ч. 16 ст. 13.11 КоАП. DATUM соберёт полный пакет ОРД под ключ, включая согласия на биометрию и договоры с прокторинговыми сервисами.

Собрать ОРД под ключ

Три типовые ситуации из практики: как это выглядит при проверке РКН

Ситуация 1. Согласие родителя включено в договор об образовательных услугах. Школа заключает договор с родителем на оказание услуг и в том же документе получает согласие на рассылку, публикацию фотографий на сайте и передачу данных спонсорам мероприятий. После 01.09.2025 такая конструкция нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. При проверке РКН инспектор квалифицирует это как обработку без надлежащего согласия — состав ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 ₽. Стратегия: до подачи уведомления о проверке — переоформить согласия в отдельный документ для всех новых поступающих; для ранее принятых — проверить дату подписания и применить переходные положения ФЗ-156.

Ситуация 2. Школа использует зарубежную EdTech-платформу без договора поручения и уведомления РКН о трансграничке. Данные учащихся и их родителей (ФИО, контакты, результаты тестов) передаются на серверы платформы, расположенные в ЕС. Договора поручения с платформой нет. Уведомление о трансграничной передаче в РКН не подавалось. Риск: одновременно нарушение ч. 5 ст. 18 (локализация, штраф 1–6 млн ₽) и ст. 12 ФЗ-152 (трансграничная передача без уведомления). Стратегия: перевести обработку первичных данных на российский сервис или подписать договор с платформой и подать уведомление РКН по порядку трансграничной передачи.

Ситуация 3. Онлайн-школа не уведомила РКН о намерении обрабатывать ПДн родителей. Платформа работает два года, данные родителей 12 000 пользователей хранятся в CRM. Уведомление в реестр операторов ПДн по ст. 22 ФЗ-152 не подавалось. РКН обнаруживает это при внеплановой проверке по жалобе. Состав — ч. 10 ст. 13.11 КоАП: штраф 100 000–300 000 ₽ и обязание устранить нарушение. При наличии дополнительных нарушений (отсутствие политики, нарушение согласий) — протоколы суммируются. Стратегия: подать уведомление через pd.rkn.gov.ru немедленно; это не устраняет состав, но снижает вероятность максимального штрафа.

Как это применяется на практике

Кейс 1. Региональная образовательная платформа (Приволжский ФО, осень 2025) прошла проверку РКН после жалобы родителя на использование его данных в рекламной рассылке партнёра. При проверке выявлено: согласие на рассылку включено в анкету участника олимпиады, договора поручения с рекламным партнёром нет. Юрист платформы обратился в DATUM после получения протокола по ч. 2 ст. 13.11. В рамках защиты подготовлен контраргумент об устранении нарушения до вынесения постановления и применении ст. 4.1.1 КоАП. Итог: штраф в сотни тысяч рублей заменён предупреждением с учётом первичности нарушения и статуса некоммерческой организации.

Кейс 2. Общеобразовательная школа (Сибирский ФО, начало 2026) использовала прокторинговый сервис для промежуточной аттестации учащихся 9–11 классов. Согласие на биометрию не запрашивалось — администрация считала, что общее согласие родителей при зачислении покрывает все виды обработки. После жалобы одного из родителей РКН возбудил дело по ч. 16 ст. 13.11 КоАП. Юрист школы обратился за помощью в подготовке возражений на протокол. В результате проверки школа получила предписание об устранении нарушения и штраф в нижней границе диапазона — с учётом отсутствия умысла и готовности к устранению нарушений. Точный размер штрафа — менеджер уточняет при публикации.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка оснований обработки, согласий родителей, договоров поручения
  • Комплект ОРД под ключ — политика, согласия, приказы, регламент реагирования для образовательной организации
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей, а когда школа вправе обрабатывать данные без него?

Согласие нужно только тогда, когда отсутствует иное законное основание по ст. 6 ФЗ-152. Передача данных в органы власти, ведение реестров и исполнение договора об образовательных услугах — самостоятельные основания, не требующие согласия. Но публикация фотографий на сайте, рассылки партнёров, передача данных в спонсорские программы или использование данных родителя в маркетинговых целях — только по отдельному согласию, оформленному по ст. 9 ФЗ-152 в редакции с 01.09.2025.

2. Можно ли использовать Google Classroom, если данные хранятся на серверах в ЕС?

Использование возможно при соблюдении двух условий: первичные операции с ПДн граждан РФ (запись, хранение, уточнение) проводятся в базах на территории России, а передача данных за рубеж оформлена как трансграничная с предварительным уведомлением РКН по ст. 12 ФЗ-152. Если эти условия не выполнены — нарушение ч. 5 ст. 18 ФЗ-152 и риск штрафа 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП. Перед использованием зарубежной платформы юрист организации должен провести оценку потоков данных и оформить договор поручения.

3. Что такое прокторинг с точки зрения 152-ФЗ и какие риски он создаёт?

Прокторинг, предполагающий распознавание лица, — это обработка биометрических ПДн по ст. 11 ФЗ-152. Для несовершеннолетних до 14 лет согласие даёт законный представитель — родитель или опекун. Согласие оформляется письменно, отдельным документом, с указанием конкретной цели (идентификация при прохождении теста) и перечня действий. Школа как оператор отвечает за действия прокторингового сервиса как обработчика по поручению. Утечка биометрии — штраф 15–20 млн ₽ по ч. 17 ст. 13.11 КоАП.

4. Кто является оператором ПДн в онлайн-школе — платформа или организация?

Оператором по ст. 3 ФЗ-152 является тот, кто самостоятельно или совместно с другими лицами определяет цели и состав обрабатываемых ПДн. В большинстве случаев это образовательная организация, использующая платформу. Сама платформа выступает обработчиком по поручению. Если платформа самостоятельно определяет цели обработки данных пользователей (например, в маркетинговых целях) — она становится самостоятельным оператором с собственными обязанностями по ст. 22 ФЗ-152.

5. Что грозит школе за утечку данных родителей?

При утечке от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП (с 30.05.2025). При утечке более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Дополнительно: неуведомление РКН об инциденте в течение 24 часов — ещё 1–3 млн ₽ по ч. 11 ст. 13.11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.

Итог

ПДн родителей в школе — это не производная от данных ребёнка, а самостоятельный массив, требующий собственных правовых оснований, отдельных согласий и контроля за цепочкой обработки через сторонние сервисы. С 01.09.2025 каждое согласие — отдельный документ; прокторинг с биометрией — отдельное письменное согласие; зарубежные платформы — уведомление РКН о трансграничке.

Юристы DATUM специализируются на ПДн в образовании: аудит обработки данных родителей и учащихся, сборка пакета ОРД с учётом требований ФЗ-156, сопровождение проверок РКН в образовательных организациях и защита от штрафов по ст. 13.11 КоАП.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях, согласия родителей, прокторинг, обработка ПДн несовершеннолетних, ЕГИСЗ, телемедицина.

3 февраля 2029 года