инструкция 16 декабря 2026 По состоянию на 16 декабря 2026

Политика для несовершеннолетних: согласие родителей

Обработка персональных данных детей требует отдельного согласия родителя или законного представителя — и с 01.09.2025 это согласие должно быть самостоятельным документом.

Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 запрещает объединять согласие с договором, политикой или офертой. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждое ненадлежащее согласие.

→ Если вы юрист образовательной организации, медицинской клиники или EdTech-сервиса — проверьте пакет ОРД по этой инструкции до плановой проверки РКН.

Обработка персональных данных несовершеннолетних — зона повышенного риска по ФЗ-152. Ребёнок не может самостоятельно выразить согласие; закон возлагает это на родителя или законного представителя. Поправки 2025 года ужесточили требования к форме: согласие больше нельзя прятать в тело договора или на страницу с политикой. Эта инструкция проведёт юриста-практика по семи шагам: от определения категорий ПДн до включения в реестр РКН и назначения ответственного по ст. 22.1 ФЗ-152.

Шаг 1. Определите категории персональных данных, которые обрабатываете

Прежде чем составлять политику и согласия, юрист обязан провести инвентаризацию данных. Категория определяет уровень защищённости и набор требований к согласию.

Для несовершеннолетних операторы чаще всего обрабатывают: ФИО, дату рождения, адрес, сведения о здоровье (в медорганизациях), фотографии и видеозаписи (СКУД, фотоотчёты), успеваемость, результаты тестов (EdTech). Сведения о здоровье относятся к специальным категориям по ст. 10 ФЗ-152 — их обработка требует отдельного письменного согласия и повышенных мер защиты. Фотографии и видео при использовании для идентификации личности становятся биометрическими ПДн по ст. 11 ФЗ-152.

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без явного согласия, кроме случаев, прямо предусмотренных ч. 2 той же статьи (медицинская помощь, охрана здоровья). Ст. 11 ФЗ-152 — биометрические ПДн обрабатываются только с письменного согласия субъекта или его законного представителя.»

Результат шага: перечень всех категорий ПДн несовершеннолетних с указанием правового основания обработки. Этот перечень войдёт в политику обработки и в текст согласия.

Шаг 2. Составьте политику обработки персональных данных по ст. 18.1 ФЗ-152

Политика обработки ПДн — обязательный публичный документ для любого оператора. Ч. 2 ст. 18.1 ФЗ-152 устанавливает минимальный перечень сведений, которые она должна содержать.

В отношении несовершеннолетних политика должна дополнительно раскрывать: возрастной порог, с которого принимается согласие самого субъекта; порядок получения согласия законного представителя; способ подтверждения полномочий представителя; сроки хранения и порядок уничтожения данных по окончании действия согласия или достижении ребёнком совершеннолетия.

«Ст. 18.1 ФЗ-152 — оператор обязан опубликовать политику обработки ПДн и обеспечить неограниченный доступ к ней. Непубликация — штраф по ч. 3 ст. 13.11 КоАП от 30 000 до 60 000 ₽.»

Политика должна быть опубликована на сайте оператора в открытом доступе. Для образовательных организаций — также размещена на информационном стенде или выдана родителю на руки при обращении. После 01.09.2025 политика не заменяет согласие и не может его содержать — это самостоятельные документы.

Политика есть, но согласие включено в договор с родителем?

С 01.09.2025 объединение согласия с любым другим документом нарушает ст. 9 ФЗ-152 в редакции ФЗ-156. Каждое такое согласие — основание для протокола по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — от 300 000 до 700 000 ₽. Юристы DATUM соберут полный пакет ОРД: политику, отдельные согласия, приказы и журналы — под ключ.

Собрать ОРД под ключ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Оформите согласие законного представителя как отдельный документ

С 01.09.2025 согласие на обработку ПДн обязано быть самостоятельным документом по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Это требование касается и согласий законных представителей несовершеннолетних.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО законного представителя; контактные данные представителя; сведения о ребёнке (ФИО, дата рождения); наименование и реквизиты оператора; цель обработки; перечень персональных данных; перечень действий с ПДн; срок действия согласия или условие его прекращения; способ отзыва согласия. Для специальных категорий ПДн (сведения о здоровье) и биометрических ПДн — письменная форма обязательна; для общих категорий — достаточно проставления отметки или подписи, но форма «отдельного документа» соблюдается в любом случае.

«Ст. 9 ФЗ-152 (ред. ФЗ-156 от 24.06.2025, действует с 01.09.2025) — согласие оформляется в виде отдельного документа, не совмещается с иными документами. Согласия, полученные до 01.09.2025 по старым формам, продолжают действовать; переоформление старых согласий не требуется, поскольку закон не имеет обратной силы.»

Практический момент: для онлайн-сервисов и EdTech-платформ согласие оформляется через отдельную форму с чекбоксом, не связанным с полем принятия оферты. Отметка в одном чекбоксе «Согласен с условиями и обработкой ПДн» после 01.09.2025 нарушает закон.

Как подтвердить полномочия законного представителя?

Оператор обязан убедиться, что согласие подписывает именно родитель или законный представитель, а не посторонний. Степень проверки зависит от модели взаимодействия.

При очном взаимодействии: копия паспорта родителя и свидетельства о рождении ребёнка (или иного документа, подтверждающего статус представителя — решения суда об опеке, приказа об усыновлении). При дистанционном взаимодействии (EdTech, медтелематика): самозаявление с подтверждением через ЕСИА или простую электронную подпись с последующей верификацией; в ряде случаев — нотариально заверенное согласие. Вопрос дистанционной верификации ФЗ-152 прямо не регулирует — оператор закрепляет выбранный порядок в политике обработки и регламенте взаимодействия.

Отсутствие процедуры подтверждения полномочий — типичная находка при проверке РКН в образовательных и медицинских организациях. Роскомнадзор квалифицирует это как обработку ПДн без надлежащего согласия по ч. 2 ст. 13.11 КоАП.

Что подготовить юристу: минимальный пакет ОРД для оператора ПДн несовершеннолетних

Политика обработки ПДн с разделом о данных несовершеннолетних — опубликована по ст. 18.1 ФЗ-152.
Отдельные формы согласий законных представителей по ст. 9 ФЗ-152 (ред. ФЗ-156) — для каждой цели обработки своя форма.
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с должностной инструкцией.
Уведомление в РКН о намерении обрабатывать ПДн по ст. 22 ФЗ-152 — подано через pd.rkn.gov.ru по форме Приказа РКН №180 от 28.10.2022.
Журнал учёта обращений субъектов (законных представителей) с регистрацией входящих запросов и сроков ответа.

Шаг 4. Уведомьте Роскомнадзор по ст. 22 ФЗ-152

Оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Для операторов, работающих с данными несовершеннолетних, это правило не имеет исключений: ни образовательный статус, ни некоммерческий характер деятельности не освобождают от обязанности по ст. 22 ФЗ-152.

Уведомление подаётся через портал pd.rkn.gov.ru с авторизацией через ЕСИА или с использованием усиленной квалифицированной электронной подписи. Форма уведомления установлена Приказом РКН №180 от 28.10.2022. В уведомлении указываются: цели обработки, категории субъектов (включая «несовершеннолетние»), категории ПДн, правовые основания, сведения о трансграничной передаче (если есть), меры защиты. Срок включения в реестр операторов после подачи уведомления — 30 дней.

«Ст. 22 ФЗ-152 — неуведомление или несвоевременное уведомление РКН о намерении осуществлять обработку ПДн влечёт штраф по ч. 10 ст. 13.11 КоАП от 100 000 до 300 000 ₽ для юридического лица.»

Если обработка уже ведётся, а уведомление не подано — подаётся незамедлительно. При изменении сведений (новые цели, новые категории ПДн) в реестр вносятся изменения через тот же портал.

Шаг 5. Назначьте ответственного за обработку персональных данных по ст. 22.1 ФЗ-152

Оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн. Для организаций, работающих с детскими данными (школы, детские клиники, EdTech-компании), наличие ответственного — обязательное условие при плановой проверке РКН.

Ответственный назначается приказом руководителя. В приказе фиксируются: ФИО, должность, функции (взаимодействие с РКН, работа с обращениями субъектов, контроль исполнения локальных актов). Ч. 4 ст. 22.1 ФЗ-152 устанавливает требования к квалификации: лицо должно обладать знаниями в области защиты ПДн — формально подтверждается прохождением обучения или наличием юридической квалификации. Ответственный не несёт личной имущественной ответственности за нарушения оператора, но может быть привлечён к дисциплинарной ответственности.

«Ст. 22.1 ФЗ-152 — оператор обязан назначить лицо, ответственное за организацию обработки ПДн, и обеспечить его взаимодействие с РКН и субъектами. Отсутствие назначенного ответственного фиксируется при проверке как нарушение.»

Если вы юрист и готовите организацию к проверке РКН — назначение ответственного по ст. 22.1 и полный пакет ОРД должны быть готовы до вручения уведомления о проверке. Промедление сужает возможности для корректировки нарушений. Юристы DATUM проведут аудит и закроют пробелы в ОРД.

Заказать аудит 152-ФЗ

Шаг 6. Установите порядок ответа на запросы законных представителей

Законный представитель несовершеннолетнего вправе подать запрос о предоставлении информации об обработке ПДн ребёнка, потребовать уточнения, блокирования или уничтожения данных. Эти права реализуются через оператора в порядке, установленном ст. 14 и ст. 20 ФЗ-152.

Срок ответа на запрос субъекта (законного представителя) — 10 рабочих дней с даты обращения, с возможностью продления ещё на 5 рабочих дней при уведомлении заявителя о причинах. Ответ предоставляется в форме, определённой оператором (письменно, по электронной почте). Невыполнение обязанности по предоставлению информации — штраф по ч. 4 ст. 13.11 КоАП от 40 000 до 80 000 ₽. Порядок регистрации запросов и ответов на них юрист фиксирует в регламенте работы с обращениями субъектов — обязательная составляющая ОРД.

Шаг 7. Проверьте соответствие локальных актов требованиям после 01.09.2025

После вступления в силу ФЗ-156 от 24.06.2025 весь ранее оформленный пакет ОРД нуждается в проверке на соответствие новым требованиям к форме согласия. Ключевые точки проверки для юриста:

Первое: форма согласия. Если согласие включено в тело договора с родителем, в устав или правила пользования сервисом — это нарушение ч. 1 ст. 9 ФЗ-152 с 01.09.2025. Форму нужно выделить в самостоятельный документ. Второе: реквизиты согласия. Проверьте наличие всех обязательных реквизитов, перечисленных в ст. 9 ФЗ-152: ФИО, контакты, оператор, цель, перечень ПДн, перечень действий, срок, способ отзыва. Третье: отдельность согласия для каждой цели. Если организация обрабатывает данные ребёнка для нескольких целей (учёт, охрана здоровья, публикация фотографий) — каждая цель требует отдельного согласия или чётко разграниченных блоков в одном документе. Четвёртое: актуальность уведомления в реестре РКН. Если после обновления ОРД изменились цели или категории ПДн — уведомление подаётся повторно.

«ФЗ-156 от 24.06.2025 — требование об отдельном документе распространяется на согласия, получаемые с 01.09.2025. Согласия, полученные до этой даты, юридической силы не теряют и переоформления не требуют.»

Типовые ситуации: три сценария из практики

Сценарий 1. Образовательная организация: согласие в договоре с родителем. Ситуация: частная школа получает согласие на обработку ПДн учеников в теле договора об оказании образовательных услуг. После 01.09.2025 такой порядок нарушает ч. 1 ст. 9 ФЗ-152. При проверке РКН инспектор квалифицирует это как обработку без надлежащего согласия — ч. 2 ст. 13.11 КоАП, штраф от 300 000 до 700 000 ₽. Стратегия: до первого сентября разработать отдельную форму согласия по всем реквизитам; направить родителям для подписания; обновить политику обработки с указанием нового порядка.

Сценарий 2. EdTech-сервис: дистанционное получение согласия без верификации представителя. Ситуация: онлайн-платформа для подготовки к ОГЭ принимает регистрацию ребёнка с галочкой «родитель даёт согласие», не верифицируя личность. Оператор не может доказать, что согласие дал именно законный представитель. РКН при проверке фиксирует нарушение ст. 9 ФЗ-152 — согласие ненадлежащего субъекта. Стратегия: внедрить верификацию через ЕСИА или запрашивать скан документа, подтверждающего полномочия; закрепить порядок в политике обработки.

Сценарий 3. Медицинская клиника: обработка специальных категорий ПДн без письменного согласия. Ситуация: педиатрическая клиника собирает сведения о диагнозах детей через электронную форму записи. Письменное согласие законного представителя на обработку медицинских данных отсутствует. Медицинские данные — специальная категория по ст. 10 ФЗ-152, их обработка без письменного согласия влечёт ч. 2 ст. 13.11 КоАП. Стратегия: разработать письменную форму согласия с перечнем конкретных диагностических категорий; разграничить согласие на оказание медицинской помощи (323-ФЗ) и согласие на обработку ПДн (152-ФЗ) — это два самостоятельных документа.

Частые вопросы

1. Какие документы должны быть у оператора ПДн, работающего с данными несовершеннолетних?

Минимальный пакет включает: политику обработки ПДн по ст. 18.1 ФЗ-152 с разделом о данных детей; отдельные формы согласий законных представителей по ст. 9 ФЗ-152 для каждой цели обработки; приказ о назначении ответственного по ст. 22.1 ФЗ-152; уведомление о намерении обрабатывать ПДн по ст. 22 ФЗ-152 с включением в реестр РКН; регламент работы с обращениями субъектов и журнал их регистрации; приказ об утверждении локальных актов по ПДн. Для медицинских организаций дополнительно — согласие на обработку специальных категорий ПДн по ст. 10 ФЗ-152.

2. Как составить политику обработки персональных данных по ст. 18.1 ФЗ-152?

Политика должна содержать: наименование и реквизиты оператора; цели обработки ПДн; правовые основания; категории субъектов и перечни обрабатываемых данных; порядок получения и отзыва согласия; сроки хранения; меры защиты; сведения о трансграничной передаче (если есть); порядок работы с запросами субъектов. Для операторов, обрабатывающих данные несовершеннолетних, дополнительно включается раздел о порядке работы с законными представителями и процедуре подтверждения их полномочий. Документ публикуется на сайте в открытом доступе.

3. Кого назначить ответственным за обработку персональных данных по ст. 22.1 ФЗ-152?

Ответственным назначается штатный сотрудник приказом руководителя — как правило, юрист, специалист по кадрам или ИТ-директор в зависимости от структуры организации. Ч. 4 ст. 22.1 ФЗ-152 требует наличия знаний в области защиты ПДн, что подтверждается обучением или квалификацией. Ответственный не несёт имущественной ответственности за нарушения оператора, но обеспечивает организацию обработки, отвечает на запросы субъектов и взаимодействует с РКН. Альтернатива штатному ответственному — DPO-аутсорсинг по договору с профильной организацией.

4. Можно ли использовать типовой шаблон политики конфиденциальности из интернета?

Шаблон из открытых источников закрывает не более 30–40% требований ФЗ-152 для конкретного оператора. Политика должна отражать реальные цели, категории ПДн и процессы именно вашей организации. Шаблон, скопированный без адаптации, при проверке РКН квалифицируется как формально существующий документ, не соответствующий фактической обработке — это нарушение ст. 18.1 ФЗ-152 и основание для предписания. Особенно критично для операторов, работающих с несовершеннолетними: шаблоны общего назначения не содержат специального регулирования для законных представителей.

5. Какие согласия нужно переоформить после 01.09.2025 в связи с ФЗ-156?

Переоформлять ранее полученные согласия не требуется — ФЗ-156 от 24.06.2025 не имеет обратной силы. Согласия, полученные до 01.09.2025, сохраняют юридическую силу. Новые согласия — получаемые с 01.09.2025 и далее — обязаны оформляться как отдельные документы по ч. 1 ст. 9 ФЗ-152 в новой редакции. Это означает: нужно разработать новые формы и внедрить их в документооборот. Параллельно следует проверить политику обработки на соответствие и при необходимости актуализировать уведомление в реестре РКН.

Итог

Обработка персональных данных несовершеннолетних объединяет требования нескольких режимов: общий порядок согласия по ст. 9 ФЗ-152 с изменениями ФЗ-156, требования к специальным категориям по ст. 10 для медицинских данных, обязанности по публикации политики по ст. 18.1 и уведомлению РКН по ст. 22. С 01.09.2025 любое согласие в составе договора или политики нарушает закон.

Практика DATUM по сопровождению образовательных организаций, медицинских клиник и EdTech-платформ показывает: наиболее частые нарушения при проверках РКН — отсутствие отдельных форм согласий, не назначенный ответственный по ст. 22.1 и уведомление с устаревшими сведениями о целях обработки. Все три нарушения устраняются в рамках подготовки базового пакета ОРД.

Услуги DATUM по теме

Комплект ОРД под ключ — политика, согласия, приказы, журналы для оператора ПДн.
Аудит соответствия 152-ФЗ — проверка пакета ОРД по чек-листу из 38 пунктов.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

16 декабря 2026 года