Перейти к содержанию
инструкция 14 декабря 2026 По состоянию на 14 декабря 2026

Политика для образовательной организации

Политика обработки персональных данных — обязательный публичный документ для каждой образовательной организации как оператора ПДн по ст. 18.1 ФЗ-152.
Отсутствие политики или её несоответствие требованиям влечёт штраф по ч. 3 ст. 13.11 КоАП — 30 000–60 000 ₽ для юридического лица; с 30.05.2025 это одно из первых нарушений, которые фиксирует РКН при проверке.
Если вы юрист образовательной организации и политика не обновлялась с 2023 года — читайте эту инструкцию: разберём структуру, обязательные реквизиты и изменения после ФЗ-156 от 24.06.2025. →

Образовательные организации обрабатывают персональные данные ежедневно: поступление, зачисление, ведение личных дел, согласия родителей несовершеннолетних, передача сведений в федеральные системы. Роскомнадзор при плановой и внеплановой проверке проверяет политику одним из первых документов. С 01.09.2025 требования к согласиям изменились по ФЗ-156 от 24.06.2025 — это затрагивает раздел о правовых основаниях в политике. Ниже — пошаговая инструкция для юриста организации.

Шаг 1. Определите статус организации как оператора ПДн

Любая образовательная организация — школа, колледж, вуз, частный учебный центр, организация дополнительного образования — является оператором ПДн в соответствии со ст. 3 ФЗ-152. Это означает, что на неё распространяется весь комплекс обязанностей: уведомление РКН, политика, назначение ответственного, ведение журналов.

До начала обработки персональных данных организация обязана направить уведомление в Роскомнадзор по форме, установленной Приказом РКН №180 от 28.10.2022. Без записи в реестре операторов ПДн на pd.rkn.gov.ru любая обработка формально нарушает ст. 22 ФЗ-152. Проверьте наличие актуальной записи на портале РКН — это стартовая точка.

Если организация ведёт дистанционное обучение с зарубежными слушателями или передаёт данные в иностранные облачные системы — дополнительно проверьте соответствие требованиям трансграничной передачи по ст. 12 ФЗ-152.

Шаг 2. Соберите перечень обрабатываемых категорий ПДн

Прежде чем писать текст политики, зафиксируйте, какие именно персональные данные обрабатывает организация и на каком основании. Это основа для раздела о целях и правовых основаниях. Для образовательной организации типичные категории выглядят так:

  • Общие ПДн обучающихся и их законных представителей: ФИО, дата рождения, адрес, контактные данные, СНИЛС.
  • Специальные категории по ст. 10 ФЗ-152: сведения о состоянии здоровья — при наличии медицинских справок, ограниченных возможностях здоровья (ОВЗ), психолого-педагогическом сопровождении.
  • ПДн работников: в рамках трудовых отношений по ст. 86–88 ТК РФ.
  • Биометрические данные: если используется СКУД с распознаванием лица или голоса — обработка требует письменного согласия по ст. 11 ФЗ-152.
  • ПДн несовершеннолетних: согласие дают родители или законные представители; это отдельная категория по контексту.

Специальные категории ПДн (здоровье, ОВЗ) обрабатываются только при наличии исключений из п. 2 ст. 10 ФЗ-152 — например, для медицинских, профилактических целей или в рамках трудового договора. Без явного основания их включать в обработку нельзя.

Юрист образовательной организации — с чего начать приведение ОРД в порядок?

Если политика не обновлялась более года или согласия родителей оформлены в составе договора об оказании услуг — вероятны нарушения сразу по нескольким основаниям. С 01.09.2025 согласие на обработку ПДн должно быть оформлено отдельным документом по ФЗ-156. Юристы DATUM проведут аудит документации образовательной организации по чек-листу из 38 пунктов и подготовят план устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Шаг 3. Составьте текст политики по требованиям ч. 2 ст. 18.1 ФЗ-152

Политика обработки персональных данных — не произвольный текст. Часть 2 ст. 18.1 ФЗ-152 устанавливает обязательные разделы. В документе должны быть отражены: наименование и контактные данные оператора; цели обработки с привязкой к правовым основаниям; перечень обрабатываемых категорий ПДн; категории субъектов; порядок и условия обработки; срок хранения с обоснованием; права субъектов и порядок их реализации; сведения о мерах защиты; сведения о трансграничной передаче (если применимо); порядок обновления документа.

«Ст. 18.1 ч. 2 ФЗ-152 — оператор обязан опубликовать политику, определяющую принятый подход к обработке ПДн. Документ должен быть доступен неограниченному кругу лиц — как правило, на официальном сайте организации.»

Для образовательной организации особое внимание — раздел о правовых основаниях. Обработка ПДн обучающихся ведётся на основании ст. 6 ФЗ-152: согласие субъекта (п. 1), исполнение договора об оказании образовательных услуг (п. 5), исполнение обязанностей оператора по федеральному закону (п. 2 — передача в ГИС, ФИС). По каждой цели — своё основание. Смешивать основания в одном пункте нельзя: это нарушает принцип конкретности целей по ст. 5 ФЗ-152.

Раздел о сроках хранения должен быть конкретным: «личное дело обучающегося — в соответствии с номенклатурой дел, не менее 5 лет после окончания обучения», «данные сотрудников — 75 лет в составе личного дела». Формулировка «до достижения целей обработки» без конкретного срока — признак нарушения, который РКН фиксирует при проверке.

Как изменились требования к согласиям после 01.09.2025?

ФЗ-156 от 24.06.2025 внёс изменения в ч. 1 ст. 9 ФЗ-152: с 01.09.2025 согласие субъекта на обработку ПДн оформляется отдельным документом. Оно не может быть частью договора об образовательных услугах, заявления о приёме или любого другого документа. Обратной силы норма не имеет: согласия, полученные до 01.09.2025, переоформлять не требуется — но все новые согласия с этой даты должны соответствовать новым требованиям.

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта (или его законного представителя для несовершеннолетних), контактные данные, наименование и адрес оператора, цель обработки, перечень ПДн, перечень действий с ПДн, срок действия согласия или условие его прекращения, способ отзыва. Если хотя бы один реквизит отсутствует — согласие недействительно, обработка на его основании нарушает ч. 2 ст. 13.11 КоАП (штраф 300 000–700 000 ₽ для юридического лица).

В политике обработки ПДн следует отдельно зафиксировать: для каких целей используется согласие как правовое основание и что именно является отдельным документом-согласием. Это снимает вопросы инспектора РКН на проверке.

Шаг 4. Назначьте ответственного по ст. 22.1 ФЗ-152

Каждый оператор-юридическое лицо обязан назначить лицо, ответственное за организацию обработки ПДн, по ст. 22.1 ФЗ-152. Для образовательной организации это, как правило, юрист, заместитель директора по правовым вопросам или отдельный специалист. Назначение оформляется приказом. Должность в трудовом договоре и в приказе о назначении должны совпадать.

«Ст. 22.1 ч. 4 ФЗ-152 — ответственный обязан знать законодательство о ПДн, иметь доступ к перечню обрабатываемых ПДн и политике, организовывать ответы на запросы субъектов в сроки по ст. 20 ФЗ-152 (10 рабочих дней с возможностью продления на 5 рабочих дней).»

В политике должны быть указаны контактные данные ответственного или способ связи для субъектов: это требование ч. 2 ст. 18.1. Отдельный email вида pd@school.ru или телефон приёмной — допустимые форматы. Важно, чтобы ответственный реально получал и обрабатывал запросы субъектов.

Если функцию ответственного некому возложить внутри организации — возможна передача этих полномочий по договору DPO-аутсорсинга. Это законная модель при соблюдении требований ст. 6 (поручение обработки) и ст. 22.1 ФЗ-152.

Если в организации нет специалиста с квалификацией по 152-ФЗ, а РКН уже назначил проверку — DPO-аутсорсинг DATUM позволяет закрыть требование ст. 22.1 в течение нескольких дней. Срок включения в реестр операторов после подачи уведомления — 30 дней по ч. 4 ст. 22 ФЗ-152.

Подключить DPO-аутсорс

Шаг 5. Опубликуйте политику и оформите сопутствующий пакет ОРД

Политика должна быть опубликована на официальном сайте организации в открытом доступе. Для государственных и муниципальных образовательных учреждений — как правило, в разделе «Документы» или «Сведения об образовательной организации» по требованиям ФЗ-273 «Об образовании». Требование публикации — не рекомендация, а обязанность по ч. 2 ст. 18.1 ФЗ-152. Отсутствие политики на сайте или её устаревший вариант — штраф по ч. 3 ст. 13.11 КоАП.

Политика — не единственный документ. К ней прилагается пакет организационно-распорядительной документации (ОРД), без которого политика существует «в вакууме» и не защищает при проверке. Минимальный пакет для образовательной организации:

Что подготовить образовательной организации

  • Политика обработки ПДн — опубликованная на сайте, с датой актуализации не старше 12 месяцев.
  • Уведомление в реестре РКН (pd.rkn.gov.ru) — с актуальными сведениями об обрабатываемых категориях ПДн и целях; форма по Приказу РКН №180 от 28.10.2022.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
  • Отдельные согласия субъектов — для всех целей, где правовым основанием является согласие; с 01.09.2025 — отдельный документ по ФЗ-156 со всеми реквизитами ст. 9 ФЗ-152.
  • Журнал учёта обращений субъектов ПДн — для фиксации запросов и ответов в сроки по ст. 20 ФЗ-152.

Помимо перечисленного, для организаций с ИСПДн (информационными системами, обрабатывающими ПДн) потребуется определение уровня защищённости по ПП РФ №1119 и реализация мер по Приказу ФСТЭК №21. Для большинства школ и колледжей — уровень УЗ-4 или УЗ-3 в зависимости от числа субъектов и наличия специальных категорий ПДн.

Типовые ситуации: как это работает на практике

Ситуация 1. Согласие родителей в составе договора. Частная школа использует единый договор об оказании образовательных услуг, в котором одним из пунктов закреплено согласие на обработку ПДн ребёнка. До 01.09.2025 такая практика была распространена. После вступления в силу ФЗ-156 от 24.06.2025 все новые договоры, заключаемые с 01.09.2025, должны сопровождаться отдельным согласием. Риск: протокол по ч. 2 ст. 13.11 КоАП — штраф 300 000–700 000 ₽. Стратегия: разработать шаблон отдельного согласия и применять его ко всем новым поступающим; ранее заключённые договоры переоформлять не требуется.

Ситуация 2. Политика есть, но сведения в реестре РКН устарели. Вуз направил уведомление в РКН в 2018 году. С тех пор появились новые ИСПДн, изменились категории субъектов, добавилась передача данных в ФИС ФРДО. Реестровая запись этого не отражает. РКН при плановой проверке фиксирует расхождение между фактической обработкой и уведомлением — нарушение ст. 22 ФЗ-152. Стратегия: направить уведомление об изменении сведений по форме Приказа РКН №180 до проверки; это снимает нарушение.

Ситуация 3. Внеплановая проверка по жалобе родителя. Родитель пожаловался в РКН на то, что школа передала сведения о ребёнке третьей стороне без его согласия. РКН возбудил внеплановую проверку. Доказательная база школы — политика, согласие на обработку, журнал операций с ПДн, договор с поручением обработки третьей стороне. Если хотя бы одного документа нет — нарушение подтвердится. Стратегия: юрист проверяет полноту ОРД не позднее чем за 30 дней до плановой проверки и сразу при получении уведомления о внеплановой.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка документации образовательной организации по 38 пунктам с отчётом и планом устранения нарушений.
  • Комплект ОРД под ключ — разработка полного пакета организационно-распорядительной документации: политика, приказы, согласия, журналы.
  • DPO-аутсорсинг — ведение функции ответственного за обработку ПДн по ст. 22.1 на абонентской основе, включая ответы субъектам.

Частые вопросы

1. Какие документы должны быть у оператора ПДн — образовательной организации?

Минимальный обязательный пакет: уведомление в реестре РКН по ст. 22 ФЗ-152, политика обработки ПДн по ст. 18.1 ФЗ-152, приказ о назначении ответственного по ст. 22.1 ФЗ-152, отдельные согласия субъектов по ст. 9 ФЗ-152 (с 01.09.2025 — отдельный документ), журнал обращений субъектов. Для организаций с ИСПДн дополнительно — документы по уровням защищённости ПП РФ №1119.

2. Как составить политику обработки ПДн для школы или вуза?

Политика составляется в соответствии с ч. 2 ст. 18.1 ФЗ-152 и должна включать: наименование оператора, цели и правовые основания обработки (со ссылкой на ст. 6 ФЗ-152), перечень категорий ПДн, категории субъектов, сроки хранения с конкретными значениями, права субъектов и порядок их реализации, контакты ответственного. Затем документ публикуется на официальном сайте организации в открытом доступе.

3. Кого назначить ответственным за обработку ПДн по ст. 22.1 ФЗ-152?

Требований к должности нет — ответственным может быть любой работник организации: юрист, заместитель директора, специалист по кадрам. Главное — наличие приказа о назначении и реальное исполнение функции: ответы на запросы субъектов в 10 рабочих дней (ст. 20 ФЗ-152), актуализация политики, взаимодействие с РКН. Если подходящего специалиста нет — допустима передача функции по договору DPO-аутсорсинга.

4. Можно ли использовать шаблон политики из интернета?

Шаблон можно использовать как основу структуры, но не как готовый документ. Политика должна отражать реальный состав обрабатываемых ПДн, цели и основания конкретной организации. Шаблон с чужими целями, неактуальными сроками или без раздела о правах субъектов — не защищает от штрафа по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽). РКН проверяет соответствие политики фактической обработке, а не наличие документа с нужным названием.

5. Какие согласия нужны образовательной организации после 01.09.2025?

После вступления в силу ФЗ-156 от 24.06.2025 согласие на обработку ПДн должно быть оформлено отдельным документом — не в составе договора или заявления. Для несовершеннолетних согласие подписывает родитель или законный представитель. Обязательные реквизиты по ст. 9 ФЗ-152: ФИО, контакты субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва. Если согласие используется как основание для биометрической обработки (СКУД) — требуется письменная форма по ст. 11 ФЗ-152.

Итог

Политика обработки персональных данных для образовательной организации — это не формальность, а рабочий документ, который при проверке РКН закрывает ключевые вопросы инспектора. После ФЗ-156 от 24.06.2025 политика должна отражать новые требования к согласиям с 01.09.2025: отдельный документ с полным набором реквизитов по ст. 9 ФЗ-152. Несоответствие политики фактической обработке, устаревшие сведения в реестре РКН и отсутствие приказа о назначении ответственного — три наиболее частых нарушения при проверках в образовательных организациях.

Практика DATUM по сопровождению образовательных организаций охватывает полный цикл: от аудита существующей документации до разработки комплекта ОРД и представления интересов при проверке Роскомнадзора.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, проверки РКН в EdTech.

14 декабря 2026 года