аналитика 3 февраля 2029 По состоянию на 3 февраля 2029

Платформы Microsoft Teams for Education и 152-ФЗ

Microsoft Teams for Education — облачная платформа, обрабатывающая персональные данные детей и их родителей на серверах Microsoft за пределами России. Это прямое нарушение ч. 5 ст. 18 ФЗ-152 о локализации, пока не выполнены условия трансграничной передачи.

С 30.05.2025 штраф за нарушение локализации — от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП, при повторном — от 6 до 18 млн ₽. Данные несовершеннолетних относятся к специальной категории по смыслу ст. 10 ФЗ-152, что усиливает ответственность.

Если вы юрист образовательной организации и сопровождаете внедрение Teams — без оформленного комплаенса использование платформы создаёт три параллельных основания для штрафа по ст. 13.11 КоАП. → Разберём каждое.

С 2020 года Microsoft Teams for Education стал стандартом дистанционного обучения в российских школах, вузах и онлайн-школах. Платформа обрабатывает имена, логины, записи уроков, переписку, данные активности учеников — и хранит всё это на серверах Microsoft в Ирландии и США. Юрист, который сопровождает образовательную организацию, обязан квалифицировать это как трансграничную передачу персональных данных с нарушением локализации — пока не оформлены уведомление РКН и соглашение с обработчиком. Ниже — конкретные нормы, риски и сценарии для практики 2025–2026 года.

Какие данные Teams собирает и почему это ПДн?

Microsoft Teams for Education при стандартной эксплуатации обрабатывает: полные имена учеников, адреса электронной почты, идентификаторы учётных записей Azure AD, IP-адреса, историю сообщений и звонков, метаданные активности, а также загруженные файлы и записи видеоконференций. Все эти сведения позволяют идентифицировать конкретного ученика — следовательно, они являются персональными данными по ст. 3 ФЗ-152.

Данные несовершеннолетних требуют отдельного внимания. ФЗ-152 не выделяет детские данные в отдельную категорию в явном виде, однако согласие на их обработку даёт законный представитель — родитель или опекун. Это вытекает из ст. 9 ч. 6 ФЗ-152: если субъект не достиг возраста дееспособности, согласие подписывает его представитель. Без такого согласия обработка незаконна по ч. 1 ст. 13.11 КоАП — штраф от 150 000 до 300 000 ₽.

«Ст. 9 ч. 6 ФЗ-152: согласие на обработку персональных данных несовершеннолетнего даёт его законный представитель. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом — его нельзя включать в договор об образовании, оферту или правила пользования.»

Записи уроков с видеоизображением ученика формально могут квалифицироваться как биометрические персональные данные по ст. 11 ФЗ-152 — если они используются для идентификации личности. При прокторинге (автоматическое распознавание лица при онлайн-экзамене) такая квалификация становится однозначной: обработка без письменного согласия влечёт штраф по ч. 16 ст. 13.11 КоАП.

Как Teams нарушает локализацию и что это значит для образовательной организации?

Ч. 5 ст. 18 ФЗ-152 обязывает операторов осуществлять первичный сбор, запись, систематизацию, накопление, хранение и уточнение персональных данных граждан России в базах, физически расположенных на территории РФ. Microsoft не имеет дата-центров в России. Следовательно, каждый раз, когда ученик российской школы авторизуется в Teams, его данные уходят на зарубежные серверы — это нарушение локализации.

«Ч. 8 ст. 13.11 КоАП (в ред. с 30.05.2025): нарушение обязанности по локализации данных граждан РФ — штраф для юридического лица от 1 000 000 до 6 000 000 ₽. Повторное нарушение по ч. 9 — от 6 000 000 до 18 000 000 ₽.»

Трансграничная передача данных в страну без адекватной защиты (США не входит в перечень таких стран по позиции РКН) требует предварительного уведомления РКН по ст. 12 ФЗ-152. Уведомление подаётся через pd.rkn.gov.ru до начала передачи. Его отсутствие — самостоятельное нарушение, квалифицируемое по ч. 10 ст. 13.11 КоАП (штраф от 100 000 до 300 000 ₽). Таким образом, неоформленное использование Teams создаёт два независимых состава нарушения одновременно.

Параллельно возникает третье нарушение: обработка данных по поручению. Когда образовательная организация передаёт данные учеников в Microsoft, она действует как оператор, а Microsoft — как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Договор-поручение должен содержать перечень обрабатываемых данных, цели, обязанности конфиденциальности и требования к защите. Стандартный Microsoft Customer Agreement на русском языке эти требования ФЗ-152 не закрывает.

Используете Teams в образовательной организации без оформленного комплаенса?

Три нарушения ФЗ-152 — локализация, трансграничная передача и договор-поручение — могут применяться одновременно. Суммарный штраф по ст. 13.11 КоАП способен превысить 6 млн ₽. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут приоритизированный план устранения нарушений до прихода проверки РКН.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие документы нужны образовательной организации при использовании Teams?

Правильно оформленный комплаенс для Teams включает несколько взаимосвязанных блоков. Первый — локализация и трансграничная передача. Организация обязана либо перейти на российское решение, либо выполнить условия ст. 12 ФЗ-152: подать уведомление в РКН, обосновать необходимость передачи, заключить соглашение с Microsoft как обработчиком, в котором зафиксированы меры защиты, эквивалентные российским требованиям.

Второй блок — согласия. С 01.09.2025 по ФЗ-156 каждое согласие на обработку ПДн оформляется отдельным документом. Для учеников младше 14 лет согласие подписывает родитель или опекун — это прямое требование ст. 9 ч. 6 ФЗ-152. Включить согласие в договор об образовании, устав или правила пользования платформой после 01.09.2025 нельзя. Такое согласие будет считаться недействительным, что автоматически квалифицирует обработку как незаконную по ч. 2 ст. 13.11 КоАП (штраф от 300 000 до 700 000 ₽).

Третий блок — технические меры и ОРД. Организация обязана определить уровень защищённости ИСПДн по ПП РФ №1119, назначить ответственного по ст. 22.1 ФЗ-152, опубликовать политику обработки ПДн и вести журнал обращений субъектов. При использовании прокторинга как биометрической технологии добавляется требование письменного согласия по ст. 11 ФЗ-152 и соответствие мерам Приказа ФСТЭК №21.

Что подготовить образовательной организации

Уведомление РКН о трансграничной передаче данных в Microsoft (ст. 12 ФЗ-152) до начала использования Teams
Отдельные согласия родителей/законных представителей для учеников до 14 лет — отдельный документ с реквизитами по ст. 9 ФЗ-152 в ред. ФЗ-156 (с 01.09.2025)
Договор-поручение с Microsoft с перечнем ПДн, целями и требованиями к защите (п. 3 ст. 6 ФЗ-152)
Политика обработки персональных данных с разделом о трансграничной передаче и прокторинге (ч. 2 ст. 18.1 ФЗ-152)
Приказ о назначении ответственного за обработку ПДн (ст. 22.1 ФЗ-152)

Прокторинг в Teams: когда данные становятся биометрическими?

Прокторинг — автоматизированное наблюдение за учеником во время онлайн-экзамена с использованием камеры и алгоритмов распознавания. Когда система анализирует изображение лица для верификации личности экзаменуемого, она обрабатывает биометрические персональные данные в смысле ст. 11 ФЗ-152. Запись сессии с видеоизображением, хранящаяся для последующего анализа, также может квалифицироваться как биометрия, если из неё можно восстановить идентифицирующие характеристики.

Биометрические данные несовершеннолетних при прокторинге — двойная нагрузка на организацию. Необходимо письменное согласие законного представителя именно на биометрическую обработку (ст. 11 ч. 1 ФЗ-152), отдельно от общего согласия на ПДн. Если прокторинговый модуль встроен в Teams и передаёт данные на серверы Microsoft — добавляется нарушение локализации. Совокупный штраф за биометрию без согласия и за трансграничку без уведомления может превысить 6,3 млн ₽ для юридического лица.

Аналогичная логика применяется к данным в системах типа «Дневник.ру» или ЕГИСЗ-подключениях: если образовательная платформа интегрирована с Teams и передаёт через него персональные данные из государственных информационных систем, возникает дополнительный риск нарушения режима использования сведений из ГИС.

Если юрист образовательной организации обнаружил прокторинг без отдельного биометрического согласия — это ч. 16 ст. 13.11 КоАП. Срок на устранение нарушения не ждёт момента проверки РКН: риск возникает с момента первой обработки. Юристы DATUM соберут ОРД и согласия под ключ за фиксированную стоимость.

Собрать ОРД под ключ

Типовые сценарии нарушений при использовании Teams

Сценарий 1. Школа использует Teams без уведомления РКН. Образовательная организация внедрила Teams в 2021 году, уведомление о трансграничной передаче не подавалось. РКН в ходе плановой проверки устанавливает факт передачи данных 2 400 учеников на серверы Microsoft в Ирландии. Состав нарушения: ч. 8 ст. 13.11 КоАП (локализация) + ч. 10 ст. 13.11 КоАП (неуведомление о намерении обрабатывать). Стратегия: немедленно подать уведомление до завершения проверки, приложить договор-поручение с Microsoft, ходатайствовать о смягчении по ст. 4.1 КоАП — первичность и устранение нарушения. Вероятный штраф: от 1,1 до 6,3 млн ₽ суммарно.

Сценарий 2. Онлайн-школа с прокторингом и несовершеннолетними. Частная онлайн-школа проводит ЕГЭ-подготовку для учеников 15–17 лет с прокторингом через Teams. Согласие включено в договор с родителями единым пунктом. После 01.09.2025 такое согласие недействительно по ФЗ-156. РКН квалифицирует обработку биометрии без надлежащего согласия по ч. 16 ст. 13.11 КоАП. Дополнительно: обработка данных несовершеннолетних без согласия законного представителя по ч. 2 ст. 13.11 (штраф от 300 000 до 700 000 ₽). Стратегия: переоформить все согласия как отдельные документы, внедрить биометрические согласия, разграничить обработку прокторинга в политике конфиденциальности.

Сценарий 3. Вуз получил запрос субъекта об уничтожении данных. Выпускник потребовал удалить его персональные данные из всех систем, включая записи лекций в Teams. Вуз ответил через 15 рабочих дней — нарушение ст. 20 ФЗ-152 (срок ответа — 10 рабочих дней). Кроме того, записи в Teams технически хранятся у Microsoft: вуз не может их удалить без запроса к Microsoft через административную панель. Отсутствие технической возможности уничтожения — нарушение ч. 5 ст. 13.11 КоАП (штраф от 50 000 до 90 000 ₽). Стратегия: внедрить регламент реагирования на обращения субъектов, включить в договор-поручение с Microsoft обязательство об удалении данных по запросу оператора.

Как это применяется на практике

Кейс 1. Частная онлайн-школа в Сибирском федеральном округе (осень 2025) получила предписание РКН по итогам внеплановой проверки: отсутствие уведомления о трансграничной передаче данных учеников в Microsoft и Google. Юрист школы подключился к делу на стадии предписания, подготовил уведомления в РКН по обеим платформам, представил договоры-поручения и пакет согласий родителей в новой форме. РКН принял меры по устранению нарушений, протокол по ч. 8 ст. 13.11 КоАП не был составлен — суд не потребовался. Ключевым аргументом стала добровольность устранения и предоставление полного ОРД в ходе проверки.

Кейс 2. Государственный университет в Центральном федеральном округе (начало 2026) столкнулся с жалобой студента на незаконную обработку его видеозаписей через прокторинговый модуль Teams. РКН возбудил дело по ч. 16 ст. 13.11 КоАП. В ходе рассмотрения выяснилось, что университет относится к крупной организации с выручкой свыше 1 млрд ₽ от платного обучения — оборотный штраф по ч. 15 не применялся (нарушение первичное), однако штраф по основному составу составил несколько сотен тысяч рублей. Стратегия защиты включала ссылку на отсутствие умысла и принятые технические меры по Приказу ФСТЭК №21.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка платформ, трансграничной передачи и согласий
Комплект ОРД под ключ — политика, согласия родителей, договор-поручение, регламенты
DPO-аутсорсинг — ответственный по ст. 22.1, ответы на запросы субъектов

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн в Teams?

Согласие законного представителя требуется, если ученику нет 14 лет (ст. 9 ч. 6 ФЗ-152). С 01.09.2025 оно оформляется отдельным документом — не включается в договор об образовании или правила пользования платформой. Согласие должно содержать: наименование оператора, цели обработки, перечень данных, перечень действий, срок и способ отзыва. Отсутствие или ненадлежащая форма согласия — нарушение ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽.

2. Можно ли использовать Google Classroom вместо Teams — это решает проблему локализации?

Нет. Google Classroom хранит данные на серверах Google за рубежом — проблема локализации по ч. 5 ст. 18 ФЗ-152 идентична Teams. Образовательная организация обязана подавать уведомление о трансграничной передаче в РКН при использовании любого зарубежного облачного решения. Переход с одной иностранной платформы на другую не устраняет нарушение — для этого нужно либо перейти на российское решение, либо оформить комплаенс по ст. 12 ФЗ-152.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с распознаванием лица для идентификации личности экзаменуемого — это обработка биометрических персональных данных по ст. 11 ФЗ-152. Для несовершеннолетних требуется письменное согласие законного представителя именно на биометрическую обработку — отдельно от общего согласия на ПДн. Запись прокторинговой сессии, хранящаяся на зарубежных серверах Teams, дополнительно создаёт нарушение локализации. Совокупная ответственность: ч. 8 + ч. 16 ст. 13.11 КоАП.

4. Кто является оператором персональных данных в онлайн-школе, использующей Teams?

Оператором является онлайн-школа как юридическое лицо или индивидуальный предприниматель — она определяет цели и состав обрабатываемых данных (ст. 3 ФЗ-152). Microsoft в данном случае — лицо, осуществляющее обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). Ответственность перед РКН несёт оператор, а не Microsoft. Если договор-поручение не заключён надлежащим образом, ответственность оператора возрастает: суды придерживаются принципа ответственности оператора за утечку через подрядчика.

5. Что грозит школе за утечку данных учеников из Teams?

Если данные более 1 000 учеников скомпрометированы, применяется ч. 12 ст. 13.11 КоАП — штраф от 3 до 5 млн ₽. При утечке свыше 10 000 субъектов — ч. 13, штраф от 5 до 10 млн ₽. Дополнительно: неуведомление РКН в течение 24 часов (ч. 11 ст. 13.11) — штраф от 1 до 3 млн ₽. Повторная утечка влечёт оборотный штраф по ч. 15 ст. 13.11: 1–3% годовой выручки, не менее 20 млн ₽.

Итог

Microsoft Teams for Education при стандартной эксплуатации создаёт для российской образовательной организации три одновременных нарушения ФЗ-152: нарушение локализации, незаконная трансграничная передача без уведомления РКН и ненадлежащее оформление договора-поручения с обработчиком. При наличии прокторинга добавляется четвёртый состав — обработка биометрии без надлежащего согласия. Данные несовершеннолетних усиливают каждый из этих рисков через требование согласия законного представителя по ст. 9 ч. 6 ФЗ-152.

Практика DATUM по образовательным организациям включает оформление комплаенса для школ и вузов, работающих с иностранными платформами: уведомления РКН о трансграничной передаче, разработку согласий для родителей в соответствии с ФЗ-156, договоры-поручения и полный пакет ОРД.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ), образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

3 февраля 2029 года