ПДн в публикуемых рейтингах вузов
Рейтинги успеваемости, рейтинги абитуриентов по баллам ЕГЭ, рейтинги научной активности преподавателей — всё это стандартная практика вузов и школ. Проблема в том, что образовательные организации редко квалифицируют такую публикацию как распространение персональных данных. Между тем ст. 10.1 ФЗ-152 прямо требует отдельного согласия субъекта на распространение ПДн, а Роскомнадзор в ходе плановых проверок образовательных организаций фиксирует отсутствие таких согласий как типовое нарушение. В этом материале разобрано, какие данные в рейтингах считаются ПДн, какие основания обработки действуют, как правильно оформить согласие по ст. 9 и ст. 10.1 ФЗ-152, и что грозит за нарушение.
Когда рейтинговая таблица становится обработкой персональных данных?
По ст. 3 ФЗ-152 персональные данные — любая информация, относящаяся к прямо или косвенно определённому физическому лицу. Строка рейтинга «Иванов Иван Иванович — 87 баллов ЕГЭ — место 3» содержит ФИО и характеристику человека. Это ПДн. Публикация такой строки на сайте вуза, в газете или в системе управления обучением — это распространение ПДн по смыслу ст. 3 ФЗ-152: действия, в результате которых сведения становятся доступны неограниченному кругу лиц.
Важно разграничить два режима обработки. Использование рейтинга внутри организации — например, в системе Дневник.ру или внутренней LMS с ограниченным доступом — это обработка без распространения. Публикация на открытом сайте, в рейтинговом агрегаторе или в открытом списке поступивших — это распространение, требующее отдельного основания по ст. 10.1 ФЗ-152.
Рейтинги педагогов по показателям публикационной активности, числу грантов или результатам анкетирования студентов — то же самое: ФИО + характеристика = ПДн, публикация = распространение. Отдельный вопрос возникает с рейтингами, включающими сведения о состоянии здоровья (например, результаты ГТО или сведения о спортивных достижениях с медицинским контекстом) — такие данные подпадают под ст. 10 ФЗ-152 как специальные категории.
Практика показывает, что вузы чаще всего опираются на два ошибочных основания: "публичный характер информации" (абитуриент подал документы — значит, согласен на публикацию) и "договор об оказании образовательных услуг" (п. 5 ч. 1 ст. 6 ФЗ-152). Оба подхода не выдерживают проверки. Публичный характер не освобождает от требований ст. 10.1. Договор оправдывает только ту обработку, которая прямо необходима для его исполнения; публикация рейтинга в открытом доступе для исполнения договора не нужна.
Не уверены, на каком основании вуз публикует рейтинги?
Если юрист образовательной организации обнаружил, что рейтинговые таблицы публикуются без явного основания по ст. 10.1 ФЗ-152 — каждая такая публикация создаёт риск штрафа до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП. Время на исправление есть до следующей проверки РКН. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений.
Заказать аудит 152-ФЗОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru
Какие нормы ФЗ-152 регулируют согласие на публикацию рейтингов?
Центральная норма — ст. 10.1 ФЗ-152. Она требует, чтобы согласие на распространение было отдельным документом. С 01.09.2025 это требование подкреплено ФЗ-156 от 24.06.2025: согласие на обработку ПДн в любых целях не может быть встроено в договор, оферту или политику конфиденциальности — оно оформляется самостоятельно. Для образовательных организаций это означает, что включение разрешения на публикацию в рейтингах в текст договора об обучении с 01.09.2025 лишено юридической силы.
Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта, его контактные данные, наименование и адрес оператора, цель обработки, перечень передаваемых ПДн, перечень действий, срок действия согласия, способ отзыва. Для согласия по ст. 10.1 дополнительно указываются категории и перечень ПДн, открытых для распространения, а также условия запрета распространения — субъект вправе установить их самостоятельно.
Когда в рейтинг включены данные несовершеннолетних — обучающихся до 14 лет — согласие дают родители или законные представители. Этот порядок следует из ч. 6 ст. 9 ФЗ-152 (ст. 9 ч. 6 фз-152): несовершеннолетний не вправе самостоятельно давать согласие на обработку своих ПДн. В диапазоне 14–18 лет — согласие даёт сам ребёнок, но законный представитель вправе его отозвать. Отсутствие согласия родителей при публикации рейтинга класса или школы с данными детей — это нарушение ст. 10.1 в совокупности с ч. 6 ст. 9, что усиливает позицию РКН при составлении протокола.
Прокторинг — отдельный случай. Системы онлайн-прокторинга фиксируют видеоизображение лица и поведенческие характеристики. По ст. 11 ФЗ-152 изображение лица, используемое для идентификации, — это биометрические ПДн. Если результаты прокторинга (оценка попытки списать, флаги нарушений) включаются в рейтинг или публикуются, задействована ч. 1 ст. 11: обработка биометрии только при письменном согласии. Согласие на прокторинг и согласие на публикацию его результатов — два разных документа.
Как должно выглядеть корректное согласие на публикацию рейтинга?
Согласие оформляется отдельным документом — не приложением к договору и не пунктом в политике конфиденциальности. Для студентов и педагогов форма может быть электронной при условии, что она подписана УКЭП или иным способом, позволяющим однозначно идентифицировать субъекта (п. 4 ст. 9 ФЗ-152 допускает электронное согласие с подтверждением факта его получения оператором).
Что подготовить для публикации рейтинга в соответствии с 152-ФЗ
- Отдельная форма согласия на распространение ПДн по ст. 10.1 ФЗ-152 с указанием конкретных данных, открываемых для публикации (ФИО, баллы, место в рейтинге, период).
- Согласие родителей или законных представителей для обучающихся до 14 лет по ч. 6 ст. 9 ФЗ-152.
- Отдельное письменное согласие на обработку биометрических ПДн по ст. 11 ФЗ-152, если рейтинг включает данные из систем прокторинга.
- Политика обработки ПДн с разделом о целях распространения (рейтинги) по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте организации.
- Журнал учёта согласий с датами получения и отзыва — как доказательство при проверке РКН.
Принципиальный момент: согласие должно быть конкретным. Формулировка «согласен на обработку ПДн в образовательных целях» не покрывает публикацию рейтинга. Требуется явное указание: «даю согласие на распространение следующих персональных данных: фамилия, имя, отчество, баллы ЕГЭ по предмету X, место в рейтинге поступивших — путём публикации на официальном сайте организации в период с [дата] по [дата]».
Субъект вправе в любой момент отозвать согласие (ст. 9 ФЗ-152). После отзыва оператор обязан прекратить распространение. Для рейтинговых таблиц это означает удаление строки субъекта из опубликованного документа или его закрытие от публичного доступа. Срок — 10 рабочих дней с даты получения отзыва (ст. 20 ФЗ-152).
Если в образовательной организации нет отдельных форм согласия на распространение ПДн — ОРД не соответствует требованиям 152-ФЗ в редакции с 01.09.2025. Юристы DATUM соберут комплект документов под ключ, включая согласия по ст. 9, ст. 10.1 и ст. 11 ФЗ-152.
Собрать ОРД под ключЧто грозит вузу за нарушения при публикации рейтингов?
Основной состав — ч. 2 ст. 13.11 КоАП: обработка ПДн без письменного согласия или с нарушением требований к его составу. Штраф для юридического лица — от 300 тыс. до 700 тыс. ₽ (в редакции с 30.05.2025). При повторном нарушении по ч. 2.1 — от 1 до 1,5 млн ₽. Если публикация рейтинга осуществлялась в отсутствие политики обработки ПДн на сайте организации — дополнительно применяется ч. 3 ст. 13.11 (30–60 тыс. ₽).
Для случаев с биометрическими ПДн из систем прокторинга применяется ч. 16 ст. 13.11 — нарушение требований ст. 11 ФЗ-152. Штрафные диапазоны по этой части для юридических лиц следует уточнять по актуальной редакции КоАП непосредственно перед подачей возражений или публикацией внутренних регламентов.
Если в результате публикации рейтинга произошла утечка ПДн — например, таблица содержала избыточные данные (паспортные, медицинские) и стала общедоступной без надлежащего основания — включаются ч. 12–14 ст. 13.11 в зависимости от объёма: от 3 до 15 млн ₽. Утечка данных несовершеннолетних трактуется судами как отягчающее обстоятельство.
Помимо административной, возможна уголовная ответственность по ст. 137 УК РФ за нарушение неприкосновенности частной жизни. При умышленном незаконном распространении ПДн с использованием информационных систем — ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024), санкция до 10 лет лишения свободы по ч. 5.
Практические сценарии: как нарушения возникают и чем заканчиваются
Сценарий 1. Рейтинг абитуриентов по баллам ЕГЭ на сайте вуза. Ситуация: приёмная комиссия ежегодно публикует таблицу поступивших с ФИО, суммой баллов ЕГЭ и направлением. Документ об отдельном согласии на распространение отсутствует; в договоре оферты — общая фраза «даю согласие на обработку ПДн». Доказательства нарушения: нет отдельного согласия по ст. 10.1 ФЗ-152; формулировка в оферте не содержит обязательных реквизитов ст. 9 применительно к распространению. Вероятный исход: протокол по ч. 2 ст. 13.11, штраф 300–700 тыс. ₽. Стратегия: ввести отдельную форму согласия с перечнем публикуемых данных и сроком; переработать оферту, убрав из неё согласие на ПДн.
Сценарий 2. Рейтинг успеваемости в Дневник.ру с доступом для родителей и третьих лиц. Ситуация: классный руководитель публикует таблицу успеваемости класса с ФИО учеников в родительском чате и на платформе Дневник.ру в открытом разделе. Родители одного ребёнка подали жалобу в РКН: данных их ребёнка нет в числе тех, чьи родители давали согласие на распространение. Доказательства нарушения: нет согласия законного представителя по ч. 6 ст. 9 и ст. 10.1 ФЗ-152. Вероятный исход: внеплановая проверка РКН по жалобе субъекта; предписание об устранении нарушения; протокол. Стратегия: разграничить доступ в Дневник.ру по ролям; собрать согласия родителей с явным указанием открываемых данных; не публиковать данные ребёнка без согласия его законного представителя.
Сценарий 3. Онлайн-школа публикует рейтинг участников олимпиады с данными прокторинга. Ситуация: EdTech-платформа после онлайн-олимпиады публикует рейтинг участников с указанием ФИО, баллов и статуса верификации (прошёл прокторинг / не прошёл). Статус верификации выводится из видеоанализа лица (биометрия по ст. 11 ФЗ-152). Доказательства нарушения: нет письменного согласия на обработку биометрических ПДн; нет отдельного согласия на распространение по ст. 10.1; среди участников — несовершеннолетние без согласия родителей. Вероятный исход: протокол по ч. 2 и ч. 16 ст. 13.11 КоАП, совокупный штраф в сотни тысяч рублей. Стратегия: убрать из публичного рейтинга статус прокторинга; собрать отдельные биометрические согласия; для участников до 14 лет — согласие родителей.
Из практики DATUM. Образовательная организация в Сибирском федеральном округе (2025 год) получила предписание РКН по итогам плановой проверки: на сайте учреждения был размещён рейтинг обучающихся по результатам промежуточной аттестации с полными ФИО. Согласия на распространение ПДн в документах отсутствовали. Юристы DATUM сформировали возражения на акт проверки и помогли разработать комплект согласий по ст. 10.1 ФЗ-152 с разбивкой по возрастным группам. Административное дело прекращено в связи с устранением нарушений до вынесения постановления.
Из практики. В деле об утечке данных учащихся в одном из округов (начало 2026 года) суд констатировал, что публикация рейтинга на стороннем агрегаторе без уведомления РКН о трансграничной передаче (агрегатор хранил данные на серверах за рубежом) образовала одновременно нарушения ч. 2 ст. 13.11 и требований ст. 12 ФЗ-152. Организация была оштрафована по совокупности. Конкретный номер дела и точная сумма — менеджер уточняет при публикации.
Услуги DATUM по теме
- Аудит соответствия 152-ФЗ — проверка оснований обработки и документов по рейтингам и EdTech-системам
- Комплект ОРД под ключ — согласия по ст. 9, 10.1, 11 ФЗ-152 с учётом специфики образовательной организации
- DPO-аутсорсинг — постоянное сопровождение функции ответственного по ст. 22.1 ФЗ-152
Частые вопросы
1. Когда нужно согласие родителей на публикацию данных ребёнка в рейтинге?
Согласие законных представителей обязательно, если ребёнку не исполнилось 14 лет (ч. 6 ст. 9 ФЗ-152). В диапазоне 14–18 лет согласие даёт сам ребёнок, однако законный представитель вправе его отозвать. Согласие должно быть отдельным документом с перечнем публикуемых данных, сроком и способом отзыва — в соответствии со ст. 10.1 ФЗ-152 и ФЗ-156 от 24.06.2025. Включение разрешения на публикацию в договор об оказании образовательных услуг с 01.09.2025 не имеет юридической силы.
2. Можно ли использовать Google Classroom или другие зарубежные LMS для публикации рейтингов?
Использование возможно при соблюдении нескольких условий. Во-первых, первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России (ч. 5 ст. 18 ФЗ-152 — требование локализации). Если данные реально обрабатываются только на зарубежных серверах LMS, это нарушение. Во-вторых, передача данных в страну без адекватной защиты ПДн требует уведомления РКН по ст. 12 ФЗ-152. Рейтинги, публикуемые через Google Classroom с хранением данных на серверах за пределами РФ, потенциально нарушают оба требования одновременно.
3. Что такое прокторинг с точки зрения 152-ФЗ?
Прокторинг предполагает съёмку лица участника для верификации личности и контроля хода экзамена. Изображение лица, используемое для идентификации конкретного человека, — это биометрические персональные данные по ст. 11 ФЗ-152. Их обработка допустима только при наличии письменного согласия субъекта. Если результаты прокторинга (флаги, статус прохождения) включаются в рейтинг или публикуются, дополнительно требуется согласие на распространение по ст. 10.1 ФЗ-152. Хранение биометрии вне ЕБС с 01.06.2023 регулируется ФЗ-572.
4. Кто является оператором ПДн в онлайн-школе?
Оператором является организация или физическое лицо, самостоятельно или совместно с другими лицами организующее обработку ПДн (ст. 3 ФЗ-152). Онлайн-школа как юридическое лицо — оператор в отношении данных обучающихся. Платформа (LMS, EdTech-сервис), которой онлайн-школа передаёт данные для обработки, выступает лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Оператор несёт ответственность за действия платформы как обработчика, если поручение оформлено ненадлежащим образом или платформа вышла за рамки поручения.
5. Что грозит школе или вузу за утечку данных из рейтинговых таблиц?
Зависит от объёма затронутых субъектов. Утечка данных от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. Утечка данных от 10 000 до 100 000 субъектов — 5–10 млн ₽ по ч. 13. Утечка данных более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Параллельно применяется ч. 11 ст. 13.11: неуведомление РКН об утечке в течение 24 часов (Приказ РКН №187) влечёт штраф 1–3 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.
Итог
Публикация любого рейтинга с ФИО субъектов — это распространение персональных данных, требующее отдельного согласия по ст. 10.1 ФЗ-152. С 01.09.2025 согласие не может быть встроено в договор или политику. Для данных несовершеннолетних обязательно участие законных представителей. Прокторинговые системы вводят дополнительное требование письменного биометрического согласия. Использование зарубежных платформ без локализации данных создаёт самостоятельный риск по ч. 8 ст. 13.11.
DATUM сопровождает образовательные организации — школы, вузы, EdTech-платформы — в приведении обработки ПДн в соответствие с 152-ФЗ: от аудита оснований обработки до подготовки комплекта согласий и представления интересов при проверке РКН.
17 января 2027 года