Нужно ли уведомлять РКН малому бизнесу, если организация обрабатывает только данные детей и родителей?

Да. Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки вне зависимости от категорий субъектов. Исключения перечислены в ч. 2 ст. 22 ФЗ-152. Если организация ведёт кружки, секции или образовательную деятельность — она оператор, обязанный состоять в реестре. Штраф за неуведомление — 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

С какого возраста нужно согласие на ПДн от самого ребёнка, а не от родителей?

ФЗ-152 не устанавливает единого возраста: закон привязывается к дееспособности по ГК РФ. До 14 лет согласие даёт исключительно законный представитель. С 14 до 18 лет для согласия на обработку ПДн в большинстве случаев по-прежнему требуется согласие законного представителя. Полная самостоятельность наступает с 18 лет или при эмансипации (ст. 27 ГК РФ).

справочник 21 января 2027 По состоянию на 21 января 2027

Право несовершеннолетнего на свои ПДн

Несовершеннолетний — самостоятельный субъект персональных данных с момента рождения. Возраст влияет на то, кто даёт согласие на обработку, но не на объём прав ребёнка как субъекта.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156 от 24.06.2025). Для несовершеннолетних это означает строгое разграничение: до 18 лет согласие даёт законный представитель, при этом оператор несёт полный объём ответственности по ст. 13.11 КоАП.

Если вы юрист и проверяете комплаенс организации, работающей с детскими данными — ниже разбор ключевых понятий, оснований и рисков по 152-ФЗ.

Организации, работающие с данными детей — школы, медицинские учреждения, EdTech-платформы, кружки и спортивные секции — нередко не разграничивают права ребёнка как субъекта ПДн и согласие законного представителя как условие обработки. Это ошибка. 152-ФЗ наделяет несовершеннолетнего полноценными правами субъекта вне зависимости от возраста; нарушение любого из них влечёт административную ответственность по ст. 13.11 КоАП в редакции с 30.05.2025.

Кто такой субъект персональных данных и при чём здесь ребёнок?

Субъект персональных данных — физическое лицо, к которому прямо или косвенно относится информация, составляющая персональные данные. Ст. 3 ФЗ-152 не устанавливает возрастной ценз: новорождённый, обладающий именем, свидетельством о рождении и медицинской картой, является субъектом ПДн с момента регистрации акта гражданского состояния.

Персональные данные — любая информация, относящаяся прямо или косвенно к определённому или определяемому физическому лицу. Имя ребёнка, дата рождения, сведения о состоянии здоровья, фотография, данные о месте учёбы — всё это ПДн несовершеннолетнего.

«Ст. 3 ФЗ-152 определяет субъекта ПДн как физическое лицо, к которому прямо или косвенно относится обрабатываемая информация. Возраст субъекта законом не ограничен.»

Оператор персональных данных — государственный орган, муниципальный орган, юридическое или физическое лицо, которые самостоятельно или совместно с другими лицами организуют и осуществляют обработку ПДн. Школа, клиника, спортивная секция — операторы в полном смысле ст. 3 ФЗ-152.

Что считается обработкой ПДн по 152-ФЗ и почему это важно для детских данных?

Обработка персональных данных — любое действие или совокупность действий с ПДн: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Заполнение анкеты ребёнка при поступлении в секцию — уже обработка. Размещение фотографии класса на сайте школы — обработка с распространением по ст. 10.1 ФЗ-152.

Принципы обработки из ст. 5 ФЗ-152 применяются к детским данным в полном объёме: обработка только в конкретных целях, соответствие объёма целям, уничтожение при достижении целей или истечении срока. Хранить журнал посещаемости кружка бессрочно — нарушение принципа минимизации.

«Ст. 5 ФЗ-152: обработка должна ограничиваться достижением конкретных, заранее определённых и законных целей. Обработка ПДн, несовместимая с целями сбора, не допускается.»

Юрист проверяет комплаенс организации с детскими данными?

Пакет ОРД для организаций, работающих с несовершеннолетними, включает формы согласий законных представителей по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025, политику обработки ПДн и регламент реагирования на обращения субъектов. С 01.09.2025 согласие — отдельный документ. Срок не восстанавливается.

Подключить DPO-аутсорс

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

На каком основании можно обрабатывать ПДн несовершеннолетнего?

Правовые основания обработки — исчерпывающий перечень условий, при наличии хотя бы одного из которых обработка ПДн законна (ст. 6 ФЗ-152). Для детских данных актуальны три основания.

Согласие законного представителя (п. 1 ч. 1 ст. 6). До достижения ребёнком 18 лет согласие даёт родитель, усыновитель или опекун. С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025) — не в тексте договора об оказании услуг и не в уставе секции.
Исполнение договора (п. 5 ч. 1 ст. 6). Если ребёнок является стороной договора (например, с 14 лет при наличии согласия родителей), обработка ПДн, необходимых для исполнения, допустима без отдельного согласия на эти данные.
Исполнение обязанности оператора (п. 2 ч. 1 ст. 6). Школа обязана вести личные дела учеников в силу законодательства об образовании — согласие родителей на это не требуется, но объём обработки ограничен требованиями нормативного акта.

Специальные категории персональных данных по ст. 10 ФЗ-152 — сведения о состоянии здоровья, расовой и национальной принадлежности, религиозных взглядах и ряд других. Медицинская карта ребёнка содержит спецкатегорию. Обработка по общему правилу запрещена; допускается только при наличии явного письменного согласия законного представителя или в силу прямого указания закона (ч. 2 ст. 10 ФЗ-152).

Биометрические персональные данные по ст. 11 ФЗ-152 — сведения, характеризующие физиологические или биологические особенности человека (изображение лица, отпечатки пальцев, данные голоса). Если школа использует биометрическую систему контроля доступа, письменное согласие каждого законного представителя обязательно. Нарушение — состав ч. 16 ст. 13.11 КоАП.

Какие права несовершеннолетнего как субъекта ПДн существуют?

Права субъекта ПДн закреплены в ст. 14–21 ФЗ-152 и принадлежат ребёнку с момента рождения. До совершеннолетия их реализует законный представитель; с достижением дееспособности — сам субъект.

Право на доступ к своим ПДн (ст. 14 ФЗ-152). Законный представитель вправе получить от оператора подтверждение факта обработки, перечень ПДн, цели, сроки хранения, источники получения. Оператор обязан ответить в течение 10 рабочих дней с момента обращения (ст. 20 ФЗ-152).
Право на уточнение и уничтожение (ст. 21 ФЗ-152). Если ПДн недостоверны или обработка утратила правовое основание (договор расторгнут, ребёнок выбыл из школы), оператор обязан уточнить или уничтожить данные в течение 7 рабочих дней.
Право на отзыв согласия (ч. 2 ст. 9 ФЗ-152). Законный представитель вправе отозвать согласие в любой момент. После отзыва оператор обязан прекратить обработку и уничтожить ПДн, если иное не предусмотрено законом.
Право на ограничение распространения (ст. 10.1 ФЗ-152). Размещение фото ребёнка на сайте школы или в социальных сетях требует отдельного согласия на распространение. Молчание законного представителя не означает согласия.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта (или его законного представителя) оформляется в виде отдельного документа, не включённого в текст иного договора или соглашения. Действует с 01.09.2025.»

Что проверить юристу при аудите обработки ПДн несовершеннолетних

Согласия законных представителей оформлены отдельными документами (не включены в договор об оказании услуг) — требование действует с 01.09.2025.
Для спецкатегорий (медицинские данные) согласие является письменным и содержит все реквизиты ч. 4 ст. 9 ФЗ-152.
Политика обработки ПДн опубликована и содержит раздел об обработке данных несовершеннолетних и законных представителей.
Оператор включён в реестр РКН (уведомление по ст. 22 ФЗ-152) с корректно указанными категориями субъектов — в том числе несовершеннолетними.
Установлен порядок ответа на запросы законных представителей: срок 10 рабочих дней, ответственное лицо по ст. 22.1 ФЗ-152.

Что грозит оператору за нарушение прав несовершеннолетнего как субъекта ПДн?

Специальной нормы для «детских» нарушений ст. 13.11 КоАП не содержит. Квалификация зависит от состава нарушения, а не от возраста субъекта.

Обработка без согласия или с нарушением его состава (ч. 2 ст. 13.11 КоАП) — штраф для юридического лица 300 000–700 000 ₽. При повторном нарушении (ч. 2.1) — 1 000 000–1 500 000 ₽.
Нарушение требований к биометрии (ч. 16 ст. 13.11 КоАП) — применяется при незаконной биометрической идентификации детей в СКУД. Диапазон штрафа для юрлиц уточняется по актуальной редакции КоАП.
Невыполнение требования об уничтожении или уточнении (ч. 5 ст. 13.11 КоАП) — 50 000–90 000 ₽; повторно (ч. 5.1) — 300 000–500 000 ₽.
Утечка ПДн несовершеннолетних (ч. 12–14 ст. 13.11 КоАП) — при объёме от 1 000 субъектов штраф начинается от 3 000 000 ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 000 000 ₽ и не более 500 000 000 ₽.

Помимо административной ответственности, незаконный сбор, хранение или передача ПДн несовершеннолетних с использованием компьютерных систем квалифицируется по ст. 272.1 УК РФ (введена ФЗ-421 от 30.11.2024, действует с 11.12.2024). Максимальное наказание по ч. 5 — лишение свободы до 10 лет при наступлении тяжких последствий.

Если юрист выявил нарушения в обработке детских данных — оценка рисков и план устранения занимают от 5 рабочих дней. Штраф по ч. 2 ст. 13.11 при выездной проверке РКН не предупреждается — он назначается по факту.

Подключить DPO-аутсорс

Как это применяется на практике

Кейс 1. Частная школа Центрального ФО (весна 2026) использовала систему контроля доступа на основе распознавания лиц учеников. Согласия законных представителей были включены в текст договора об оказании образовательных услуг — единым блоком с офертой. После внеплановой проверки РКН оператору вменили нарушение ч. 2 ст. 13.11 КоАП (несоблюдение требований к форме согласия) и ч. 16 (биометрия без надлежащего согласия). Общая сумма штрафов составила несколько сотен тысяч рублей; систему биометрии потребовали отключить до переоформления документов.

Кейс 2. EdTech-платформа Приволжского ФО (осень 2025) получила запрос от законного представителя несовершеннолетнего пользователя об уничтожении ПДн. Ответственного за обработку по ст. 22.1 ФЗ-152 назначено не было, запрос остался без ответа в установленный срок. РКН возбудил дело по ч. 4 и ч. 5 ст. 13.11 КоАП. Юрист компании смягчил последствия, подтвердив первичность нарушения, — суд применил минимальные диапазоны обеих частей. Одновременно была проведена внеплановая проверка уведомления в реестре операторов.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка всех оснований обработки, включая детские данные и спецкатегории.
Комплект ОРД под ключ — формы согласий законных представителей по требованиям ФЗ-156 с 01.09.2025.
DPO-аутсорсинг — ответственный за обработку по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Что считается обработкой ПДн по 152-ФЗ?

Обработка — любое действие с персональными данными: сбор, запись, систематизация, накопление, хранение, уточнение, извлечение, использование, передача, обезличивание, блокирование, удаление, уничтожение (ст. 3 ФЗ-152). Для детских данных это означает, что даже однократное занесение имени и даты рождения ребёнка в журнал посещаемости является обработкой и требует правового основания по ст. 6 ФЗ-152.

2. На основании чего можно обрабатывать ПДн несовершеннолетнего?

Основания установлены ст. 6 ФЗ-152: согласие законного представителя (п. 1), исполнение договора (п. 5), исполнение обязанности, возложенной на оператора законом (п. 2). С 01.09.2025 согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025) — включение в текст договора об оказании услуг больше не допускается.

3. Что грозит за нарушение 152-ФЗ при работе с данными детей?

Штраф по ч. 2 ст. 13.11 КоАП за обработку без надлежащего согласия — 300 000–700 000 ₽ для юридического лица; повторно — до 1 500 000 ₽. Утечка ПДн несовершеннолетних от 1 000 субъектов — штраф от 3 000 000 ₽ (ч. 12 ст. 13.11). При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 000 000 ₽. Незаконный оборот ПДн с использованием компьютерных систем может квалифицироваться по ст. 272.1 УК РФ — до 10 лет лишения свободы.

4. Нужно ли уведомлять РКН, если организация обрабатывает только данные детей и родителей?

Да. Ст. 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки вне зависимости от категорий субъектов. Исключения перечислены в ч. 2 ст. 22 ФЗ-152 — в частности, обработка только в рамках трудовых отношений или данных контрагентов по договору. Если организация ведёт кружки, секции или образовательную деятельность — она оператор, обязанный состоять в реестре. Штраф за неуведомление — 100 000–300 000 ₽ по ч. 10 ст. 13.11 КоАП.

5. С какого возраста ребёнок может сам давать согласие на обработку своих ПДн?

ФЗ-152 не устанавливает единого возраста: закон привязывается к дееспособности по ГК РФ. До 14 лет согласие даёт исключительно законный представитель. С 14 до 18 лет подросток может самостоятельно совершать ограниченный круг сделок; для согласия на обработку ПДн в большинстве случаев по-прежнему требуется согласие законного представителя. Полная самостоятельность наступает с 18 лет или при эмансипации (ст. 27 ГК РФ).

Итог

Несовершеннолетний — полноправный субъект ПДн по ст. 3 ФЗ-152: все принципы обработки, правовые основания и права субъекта применяются к его данным в полном объёме. Специфика состоит в том, что до совершеннолетия согласие на обработку даёт законный представитель, причём с 01.09.2025 — строго отдельным документом. Нарушение этого требования при работе с детскими данными влечёт штрафы по ч. 2, ч. 5, ч. 12–15 ст. 13.11 КоАП вплоть до оборотного и уголовную ответственность по ст. 272.1 УК РФ.

DATUM сопровождает организации, работающие с данными несовершеннолетних: образовательные учреждения, медицинские организации, EdTech-платформы, спортивные и досуговые организации — в части формирования ОРД, аудита оснований обработки и назначения ответственного по ст. 22.1 ФЗ-152.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

21 января 2027 года