Перейти к содержанию
аналитика 17 октября 2028 По состоянию на 17 октября 2028

Передача в ВУЗ при поступлении

Передача персональных данных абитуриента в вуз — это обработка ПДн в рамках поступления, которая требует отдельного правового основания по ст. 6 ФЗ-152 и, в ряде случаев, письменного согласия по ст. 9.
С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156). При нарушении требований к согласию — штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП, при повторном — до 1 500 000 ₽.
Если вы юрист образовательной организации или приёмной комиссии — проверьте, какие основания обработки указаны в документах абитуриента и актуальны ли они после 01.09.2025.

Передача персональных данных при поступлении в вуз касается сразу нескольких операторов: школы, которая выдаёт документы, организации, проводящей ЕГЭ, самого вуза и — при поступлении несовершеннолетнего — родителей или законных представителей как самостоятельного субъекта согласия. Юристу образовательной организации важно понимать, когда обработка ПДн законна без согласия, когда согласие обязательно, и что изменилось с принятием ФЗ-156 в 2025 году. Ниже — разбор нормативной базы, типовые ошибки и практические сценарии.

Какие правовые основания допускают передачу ПДн в вуз без согласия?

Обработка персональных данных законна без согласия субъекта в нескольких случаях, перечисленных в ст. 6 ФЗ-152. Применительно к поступлению в вуз чаще всего используются два основания.

Первое — исполнение договора, стороной которого является субъект ПДн (п. 5 ч. 1 ст. 6 ФЗ-152). Если между абитуриентом и вузом заключается договор об образовательных услугах или соглашение о прохождении вступительных испытаний, то передача ПДн, необходимых для его исполнения, не требует отдельного согласия. Ключевое условие: объём передаваемых данных должен быть соразмерен цели договора. Передача биографических сведений, не нужных для зачисления, этим основанием не охватывается.

Второе основание — исполнение обязанностей, возложенных законодательством (п. 2 ч. 1 ст. 6 ФЗ-152). Федеральный закон «Об образовании в РФ» (ФЗ-273) обязывает вуз формировать личное дело абитуриента, вести приёмную документацию, передавать сведения в ФГИС «Моя школа» и иные государственные информационные системы. В этой части согласие не нужно — обязанность следует непосредственно из закона.

«Ст. 6 ФЗ-152 устанавливает 11 оснований обработки ПДн. Большинство операций вуза при поступлении охватывается п. 2 (исполнение законодательной обязанности) и п. 5 (исполнение договора). За пределами этих оснований — согласие по ст. 9.»

На практике граница между этими основаниями нередко нарушается. Вузы включают в комплект документов согласие «на всё» — в том числе на действия, которые уже охвачены законодательным основанием. Это само по себе не нарушение, но проблема возникает в обратной ситуации: когда вуз обрабатывает ПДн сверх законодательного минимума (размещает на сайте, передаёт партнёрам, использует в маркетинге), полагая, что «законодательное основание» покрывает всё.

Когда при поступлении нужно согласие, и что в нём должно быть с 01.09.2025?

Согласие обязательно в тех случаях, когда обработка выходит за рамки ст. 6 ФЗ-152. Типовые ситуации при поступлении: публикация рейтинговых списков абитуриентов с ФИО на сайте вуза, передача ПДн партнёрским организациям (общежитиям, студенческим организациям), использование фотографии в пропусках и корпоративных ресурсах, обработка сведений о состоянии здоровья для определения особых условий поступления.

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, внесённые ФЗ-156 от 24.06.2025: согласие на обработку ПДн оформляется отдельным документом и не может быть объединено с договором, офертой, политикой конфиденциальности или иным документом. Согласие, встроенное в договор об оказании образовательных услуг или в анкету абитуриента, с 01.09.2025 не отвечает требованиям закона. Ранее полученные согласия, оформленные до этой даты, обратной силы не имеют — их переоформлять не требуется, если они уже подписаны и действительны по старым нормам.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие — отдельный документ. Обязательные реквизиты: ФИО субъекта, контакты, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.»

Отдельно — ПДн несовершеннолетних абитуриентов. Если поступающему нет 18 лет, согласие на обработку его персональных данных даёт родитель или законный представитель. Это прямо следует из ч. 6 ст. 9 ФЗ-152. На практике вузы нередко упускают этот момент: берут подпись самого абитуриента, которому 17 лет, и считают согласие действительным. Такое согласие ничтожно — что создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ для юрлица).

Согласия абитуриентов оформлены в договоре или анкете?

Если юрист образовательной организации обнаружил, что согласия встроены в договор об оказании услуг или в форму заявления — с 01.09.2025 это нарушение ч. 1 ст. 9 ФЗ-152. Штраф по ч. 2 ст. 13.11 КоАП составляет 300 000–700 000 ₽. Юристы DATUM соберут пакет согласий по новым требованиям ФЗ-156 и проведут аудит ОРД образовательной организации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Кто является оператором при передаче ПДн: школа, вуз или обе стороны?

Разграничение операторов при поступлении — практически значимый вопрос, который часто остаётся без чёткого ответа в документах образовательных организаций.

Школа или иная организация, выдающая аттестат и документы об образовании, является самостоятельным оператором в части хранения и передачи этих сведений абитуриенту. Передача документов самому абитуриенту — не обработка ПДн в смысле ФЗ-152, это предоставление информации субъекту о нём самом. Однако если школа формирует сводные справки для вуза или передаёт данные напрямую в приёмную комиссию, она выступает оператором, передающим ПДн третьей стороне.

Вуз при приёме документов становится самостоятельным оператором с момента получения ПДн абитуриента. Его обязанности: уведомление в реестре РКН по ст. 22 ФЗ-152, наличие политики обработки по ст. 18.1, назначение ответственного по ст. 22.1, обеспечение уровня защищённости информационных систем по ПП РФ №1119.

Если вуз привлекает стороннюю организацию для обработки данных — например, платформу для подачи документов онлайн (дневник.ру, аналоги) — эта организация действует как лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Оператор обязан заключить договор поручения, в котором определены цели, перечень действий и требования к защите. Ответственность перед субъектом остаётся на операторе — вузе.

Что проверить юристу образовательной организации

  • Уведомление вуза в реестре операторов РКН (pd.rkn.gov.ru) — актуальность сведений о целях, системах и категориях ПДн
  • Согласия абитуриентов и их представителей — соответствие ст. 9 ФЗ-152 в редакции ФЗ-156 (отдельный документ с 01.09.2025)
  • Согласия родителей для несовершеннолетних абитуриентов по ч. 6 ст. 9 ФЗ-152 — наличие и реквизиты
  • Договоры поручения с платформами подачи документов, сервисами ЕГЭ-подготовки и иными подрядчиками по п. 3 ст. 6 ФЗ-152
  • Политика обработки ПДн по ч. 2 ст. 18.1 — опубликована ли на официальном сайте вуза

Как передача данных через ЕГЭ и государственные системы соотносится с ФЗ-152?

ЕГЭ и передача его результатов в вузы — это обработка ПДн на законодательном основании. Федеральная информационная система ЕГЭ (ФИС ОКО) функционирует на основании ФЗ-273 и ПП РФ о государственных информационных системах в образовании. Согласие абитуриента на передачу результатов ЕГЭ в вузы не требуется: это прямая законодательная обязанность операторов системы.

Ситуация меняется, когда вуз запрашивает дополнительные сведения, не предусмотренные ФЗ-273: медицинские справки для определения инвалидности и особых условий поступления, сведения о психологическом тестировании при зачислении на отдельные специальности, данные об иностранном гражданстве и документах. Медицинские данные — это специальная категория по ст. 10 ФЗ-152. Обработка допускается только с явного письменного согласия субъекта или на основаниях, предусмотренных п. 2 ч. 2 ст. 10 (например, для осуществления прав и выполнения обязанностей в сфере образования и социальной защиты).

Отдельный вопрос — платформы онлайн-подачи документов, в том числе через «Госуслуги». Здесь вуз получает ПДн из ЕСИА. Передача сведений через ЕСИА регулируется постановлениями Правительства о Единой системе идентификации и аутентификации: согласие субъекта на передачу из ЕСИА в орган или организацию даётся при авторизации. Дополнительного согласия от образовательной организации не требуется, однако дальнейшая обработка полученных данных (хранение, передача третьим лицам) регулируется общими нормами ФЗ-152.

Если юрист вуза не уверен, какие операции с ПДн абитуриентов покрыты законодательным основанием, а какие требуют отдельного согласия по ст. 9 ФЗ-152 — аудит ОРД образовательной организации снимет неопределённость до проверки РКН. Срок включения в реестр после уведомления — 30 дней; промедление даёт РКН основание для протокола по ч. 10 ст. 13.11 (100 000–300 000 ₽).

Собрать ОРД под ключ

Типовые сценарии нарушений и их последствия

Сценарий 1. Согласие в анкете абитуриента. Вуз включает согласие на обработку ПДн в стандартную форму заявления о приёме. До 01.09.2025 это было распространённой практикой. После вступления в силу ФЗ-156 такой документ не соответствует требованиям ч. 1 ст. 9 ФЗ-152. При проверке РКН инспектор фиксирует нарушение требований к составу согласия — протокол по ч. 2 ст. 13.11 КоАП. Для юрлица штраф составляет 300 000–700 000 ₽. Стратегия защиты: немедленно разработать отдельный документ согласия, устранить нарушение до завершения проверки, задокументировать устранение — это основание для смягчения по ст. 4.2 КоАП.

Сценарий 2. Передача ПДн несовершеннолетнего без согласия родителя. При поступлении 17-летнего абитуриента вуз берёт подпись самого поступающего на согласие об обработке ПДн, в том числе на публикацию в рейтинговых списках. Родители не подписывают ничего. Согласие ничтожно по ч. 6 ст. 9 ФЗ-152. Если при этом ПДн несовершеннолетнего размещены в открытом доступе на сайте вуза — нарушение по ч. 1 ст. 13.11 (обработка в случае, не предусмотренном законом) в совокупности с ч. 2. Вероятный исход: штраф 150 000–300 000 ₽ по ч. 1 плюс отдельный штраф по ч. 2 как самостоятельный состав.

Сценарий 3. Платформа подачи документов без договора поручения. Региональный вуз использует стороннюю IT-платформу для приёма документов онлайн. Договор с платформой заключён, но в нём нет положений о поручении обработки ПДн по п. 3 ст. 6 ФЗ-152: нет перечня действий, нет требований к защите, нет обязанности уничтожить ПДн после окончания приёмной кампании. Платформа допускает утечку данных абитуриентов. Ответственность перед субъектами и РКН несёт вуз как оператор. При масштабе утечки от 1 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000–5 000 000 ₽. Параллельно — неуведомление РКН об утечке в 24 часа (ч. 11 ст. 13.11, 1 000 000–3 000 000 ₽).

Как это выглядит на практике: два случая из арбитражной практики

Кейс 1. В деле образовательной организации (Центральный ФО, начало 2026 года) РКН провёл плановую проверку и выявил, что согласия на обработку ПДн абитуриентов были включены в типовой договор об оказании платных образовательных услуг. После 01.09.2025 такой порядок нарушает ч. 1 ст. 9 ФЗ-152. Организация получила предписание об устранении и протокол по ч. 2 ст. 13.11. Юристы, сопровождавшие дело, добились применения ст. 4.2 КоАП (устранение нарушения до вынесения постановления) и снижения штрафа к минимальной отметке диапазона. Ключевым доказательством послужил пакет новых согласий, подготовленный и подписанный до даты рассмотрения дела.

Кейс 2. В деле частного вуза (Северо-Западный ФО, осень 2025 года) претензия субъекта — абитуриента, не поступившего на платное отделение, — касалась получения им рекламных рассылок после завершения приёмной кампании. Вуз ссылался на согласие, полученное при подаче документов. Однако согласие не содержало указания на цель «маркетинговые коммуникации» и не предусматривало отдельного волеизъявления на распространение ПДн по ст. 10.1 ФЗ-152. Мировой суд района квалифицировал действия вуза по ч. 1 ст. 13.11 КоАП. Штраф составил сотни тысяч рублей. Устранение: вуз ввёл отдельную форму согласия на маркетинговые коммуникации с чётко обозначенной целью.

Услуги DATUM по теме

Частые вопросы

1. Когда нужно согласие родителей при поступлении в вуз?

Согласие родителя или законного представителя обязательно, если абитуриент не достиг 18 лет. Это прямо установлено ч. 6 ст. 9 ФЗ-152: до совершеннолетия субъекта согласие даёт его законный представитель. Согласие самого несовершеннолетнего при этом юридически недостаточно. Если вуз взял подпись только абитуриента — согласие считается отсутствующим, что образует состав по ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽ для юрлица).

2. Можно ли использовать Google Classroom или аналогичные зарубежные сервисы для обработки ПДн студентов?

Использование зарубежных облачных платформ влечёт риск нарушения требований локализации по ч. 5 ст. 18 ФЗ-152: запись, систематизация, накопление и хранение ПДн граждан РФ должны осуществляться в базах данных, расположенных в России. Если данные студентов первично записываются на серверах в США или ЕС — это нарушение. Штраф по ч. 8 ст. 13.11 КоАП составляет 1 000 000–6 000 000 ₽. Дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль за ходом экзамена с использованием видеозаписи лица, мониторинга экрана и голоса. Изображение лица и голос квалифицируются как биометрические ПДн по ст. 11 ФЗ-152. Обработка биометрии допустима только с письменного согласия субъекта (ч. 1 ст. 11). Для несовершеннолетних — согласие родителя по ч. 6 ст. 9. Нарушение требований к обработке биометрии влечёт штраф по ч. 16 ст. 13.11 КоАП.

4. Кто является оператором ПДн при использовании платформы типа «Дневник.ру»?

Образовательная организация остаётся оператором, а платформа «Дневник.ру» действует как лицо, осуществляющее обработку по поручению оператора, в соответствии с п. 3 ст. 6 ФЗ-152. Оператор обязан заключить договор поручения, в котором определены перечень действий, цели обработки и требования к защите. Ответственность за нарушения перед субъектами и РКН несёт оператор — образовательная организация, а не платформа.

5. Что грозит образовательной организации за утечку данных абитуриентов?

Ответственность зависит от масштаба утечки. При утечке от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000–5 000 000 ₽. При утечке от 10 000 до 100 000 субъектов — ч. 13, штраф 5 000 000–10 000 000 ₽. Дополнительно: неуведомление РКН в 24 часа (ч. 3.1 ст. 21 ФЗ-152) влечёт штраф по ч. 11 ст. 13.11 (1 000 000–3 000 000 ₽). При повторной утечке — оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 000 000 ₽.

Итог

Передача персональных данных при поступлении в вуз охватывает как минимум двух операторов, несколько правовых оснований и отдельный режим для ПДн несовершеннолетних. После 01.09.2025 требования к оформлению согласий ужесточились: согласие — только отдельный документ, согласие родителя для абитуриентов до 18 лет обязательно. Платформы подачи документов, сервисы прокторинга и иностранные облачные инструменты создают дополнительные риски — локализации, биометрии и трансграничной передачи.

Практика DATUM включает сопровождение образовательных организаций при проверках РКН, разработку ОРД для вузов и школ, включая согласия нового образца по ФЗ-156, и консультации по квалификации операций с ПДн абитуриентов и студентов.

Смотрите также

Есть вопрос по обработке ПДн при поступлении или проверка РКН в образовательной организации?

Юристы DATUM специализируются на образовательных организациях: вузах, школах, EdTech-платформах. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года, более 300 операторов сопровождено. Оценим риски и предложим план действий.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ) и образовании: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech-платформы.

17 октября 2028 года