аналитика 14 января 2029 По состоянию на 14 января 2029

Прокторинг на онлайн-экзамене: биометрия

Прокторинг с идентификацией личности — это обработка биометрических персональных данных по смыслу ст. 11 ФЗ-152, требующая письменного согласия каждого экзаменуемого.

Для несовершеннолетних обучающихся такое согласие даёт законный представитель. Нарушение порядка получения согласия влечёт штраф до 700 тыс. ₽ по ч. 2 ст. 13.11 КоАП, а повторное — до 1,5 млн ₽.

Если вы юрист образовательной организации и сомневаетесь, правильно ли выстроена схема согласий при прокторинге, — проверьте соответствие нормам ниже. →

С 2023 года онлайн-прокторинг применяется не только в вузах и корпоративном обучении, но и в общеобразовательных школах, EdTech-платформах и организациях дополнительного образования. Юрист, сопровождающий образовательную организацию, сталкивается с тремя пересекающимися массивами норм: ФЗ-152 о персональных данных, подзаконными актами в сфере биометрии и специальными нормами об обработке данных несовершеннолетних. Ошибка в любом из этих блоков создаёт основание для штрафа или предписания Роскомнадзора. Материал разбирает каждый блок последовательно.

Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — автоматизированная система контроля за ходом экзамена, которая в типичной конфигурации собирает видеозапись лица экзаменуемого, аудиозапись, снимки экрана и иногда — биометрический слепок лица для верификации личности. Правовой статус каждого из этих элементов различается.

Видеозапись лица как самостоятельный элемент квалифицируется как биометрические персональные данные по ст. 11 ФЗ-152, если она используется для идентификации или аутентификации конкретного физического лица. Роскомнадзор последовательно придерживается этой позиции: изображение лица, применяемое для распознавания, — биометрия. Если же видеозапись ведётся исключительно для ручного просмотра инспектором без автоматической идентификации, правовой режим становится дискуссионным, однако в большинстве коммерческих систем прокторинга алгоритм распознавания включён по умолчанию.

«Ст. 11 ФЗ-152 — биометрические персональные данные: сведения, которые характеризуют физиологические и биологические особенности человека и позволяют установить его личность. Обработка допускается только с письменного согласия субъекта, если иное прямо не предусмотрено законом.»

Аудиозапись голоса в связке с видеозаписью лица также относится к биометрии, поскольку голос включён в перечень биометрических характеристик. Данные о поведении пользователя за компьютером (движения мыши, нажатия клавиш) образуют отдельную категорию — общие персональные данные, для обработки которых достаточно согласия по общим правилам ст. 9 ФЗ-152.

Таким образом, прокторинговая сессия с автоматической идентификацией порождает одновременно два правовых режима обработки: биометрический (ст. 11) и общий (ст. 9). Согласие должно охватывать оба.

Какие согласия нужны и когда их получать?

Для совершеннолетних экзаменуемых алгоритм относительно прост: до начала прокторинговой сессии оператор обязан получить отдельное письменное согласие на обработку биометрических данных. С 01.09.2025 согласие на обработку ПДн в целом оформляется отдельным документом и не может быть включено в договор, пользовательское соглашение или политику конфиденциальности — это требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Обязательные реквизиты согласия на обработку биометрии при прокторинге:

ФИО и контактные данные субъекта;
наименование и адрес оператора (образовательной организации);
цель обработки — контроль прохождения экзамена, верификация личности;
перечень биометрических данных — видеозапись лица, аудиозапись голоса, биометрический шаблон (при его формировании);
перечень действий — сбор, запись, хранение, передача прокторинговому сервису, уничтожение;
срок хранения и порядок уничтожения;
способ отзыва согласия.

Для несовершеннолетних обучающихся — ключевой сегмент в школьном и дополнительном образовании — согласие даёт законный представитель (родитель, усыновитель, опекун) на основании ст. 9 ч. 6 ФЗ-152. Образовательная организация обязана проверить полномочия представителя. Согласие, подписанное самим несовершеннолетним без участия законного представителя, юридически ничтожно в части биометрии.

«Ст. 9 ч. 6 ФЗ-152 — если субъект персональных данных является недееспособным или ограниченно дееспособным, согласие на обработку его данных даёт законный представитель. Это правило распространяется и на несовершеннолетних в силу норм ГК РФ о дееспособности.»

Согласия на прокторинг — отдельный документ или вшиты в договор?

С 01.09.2025 согласие в составе пользовательского соглашения не соответствует ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Если юрист организации не проверял комплект документов после этой даты, высок риск штрафа по ч. 2 ст. 13.11 КоАП — до 700 тыс. ₽. Специалисты DATUM проведут аудит ОРД образовательной организации и приведут пакет согласий в соответствие с действующими требованиями.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Кто является оператором при онлайн-прокторинге: школа или сервис?

Этот вопрос принципиален для юриста: от ответа зависит, кто несёт ответственность перед Роскомнадзором и субъектом ПДн. На практике встречаются три модели.

Модель 1: образовательная организация — единственный оператор. Прокторинговый сервис действует строго по поручению организации на основании договора поручения обработки (ст. 6 ч. 3 ФЗ-152). В этом случае ответственность перед РКН и субъектами несёт образовательная организация. Прокторинговый сервис обязан соблюдать конфиденциальность и принципы обработки, установленные оператором.

Модель 2: совместная обработка. Прокторинговый сервис самостоятельно определяет цели и способы обработки части данных (например, формирует собственные биометрические шаблоны для антифрода). В этом случае он приобретает статус самостоятельного оператора, и каждая сторона несёт ответственность в части своих действий.

Модель 3: образовательная организация использует платформу EdTech. Платформа выступает оператором, образовательная организация — пользователем платформы, не имеющим прямого доступа к ПДн. Это наиболее сложная конструкция с точки зрения ответственности: формальный оператор — платформа, но она нередко не зарегистрирована в реестре РКН как оператор ПДн в РФ.

Юристу организации необходимо зафиксировать модель в договоре с прокторинговым сервисом. Отсутствие явного указания на роли означает, что образовательная организация по умолчанию рассматривается как оператор со всеми вытекающими обязанностями.

Что подготовить юристу образовательной организации

Договор с прокторинговым сервисом с явным указанием роли каждой стороны и поручением обработки по ст. 6 ч. 3 ФЗ-152.
Отдельные письменные согласия на обработку биометрии по ст. 11 ФЗ-152 для каждого экзаменуемого; для несовершеннолетних — согласия законных представителей.
Актуализированную политику обработки ПДн с разделом о прокторинге и указанием категорий данных.
Уведомление РКН (или изменение уведомления) с включением биометрических ПДн и цели «контроль прохождения экзамена».
Регламент хранения и уничтожения записей прокторинговых сессий с указанием сроков.

Как работают ЕГЭ, «Дневник.ру» и крупные EdTech-платформы — отдельные случаи?

Государственная итоговая аттестация (ЕГЭ, ОГЭ) проводится в очном формате с видеонаблюдением. Правовая база видеозаписи на ЕГЭ установлена специальными приказами Минпросвещения и Рособрнадзора, что выводит эту обработку за пределы общего согласительного режима ст. 11 ФЗ-152. Школа в данном случае не является оператором видеозаписи — это функция регионального центра обработки информации.

«Дневник.ру» и аналогичные электронные журналы обрабатывают общие ПДн обучающихся и их родителей: ФИО, оценки, посещаемость. Биометрия в стандартной конфигурации отсутствует. Однако ряд платформ внедряет функции видеоконтроля за выполнением домашних заданий или мониторинг присутствия на уроках — и здесь уже возникает биометрический режим.

Крупные EdTech-платформы с собственным прокторингом (онлайн-университеты, корпоративные LMS) нередко серверно располагаются за пределами РФ. Это создаёт проблему локализации по ч. 5 ст. 18 ФЗ-152: первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России. Передача данных на зарубежный сервер до первичной записи в российскую базу — нарушение по ч. 8 ст. 13.11 КоАП с штрафом от 1 до 6 млн ₽.

«Ст. 18 ч. 5 ФЗ-152 — при сборе персональных данных граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение этих данных с использованием баз данных, находящихся на территории Российской Федерации.»

Если юрист выявил, что прокторинговый сервис хранит биометрию на зарубежных серверах без локальной базы в РФ — это нарушение ч. 5 ст. 18 ФЗ-152 и штраф от 1 млн ₽ по ч. 8 ст. 13.11 КоАП. Оценим схему обработки и предложим план устранения.

Заказать аудит 152-ФЗ

Какие нарушения встречаются на практике и чем они заканчиваются?

Сценарий 1. Согласие вшито в пользовательское соглашение. EdTech-платформа (Уральский ФО, осень 2025) при регистрации пользователя предлагала поставить галочку «Принимаю условия использования», которые по ссылке содержали согласие на обработку биометрии для прокторинга. После вступления в силу ФЗ-156 (01.09.2025) такая конструкция нарушает требование об отдельном документе. РКН при плановой проверке зафиксировал нарушение, квалифицировал его по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — в диапазоне 300–700 тыс. ₽.

Сценарий 2. Отсутствие согласия законного представителя несовершеннолетнего. Онлайн-школа (Центральный ФО, зима 2025–2026) применяла прокторинг для учеников в возрасте 14–16 лет. Согласие на биометрию подписывали сами ученики в форме электронного чекбокса. Жалоба родителя в РКН повлекла внеплановую проверку. Согласия, подписанные несовершеннолетними без участия законных представителей, признаны недействительными. Организация получила предписание об устранении нарушения; при неисполнении — штраф по ч. 2 ст. 13.11. Параллельно рассматривался вопрос о соответствии обработки ст. 10 ФЗ-152 (специальная категория биометрии).

Сценарий 3. Прокторинговый сервис — иностранная компания без договора поручения. Университет (Северо-Западный ФО, весна 2026) заключил договор с зарубежным прокторинговым провайдером, квалифицированным как SaaS-подписка. Договор поручения обработки ПДн по ст. 6 ч. 3 ФЗ-152 отсутствовал. РКН расценил передачу биометрии провайдеру как трансграничную передачу без уведомления по ст. 12 ФЗ-152. По итогам проверки выдано предписание и возбуждено административное дело.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документооборота прокторинга, согласий и уведомлений РКН.
Комплект ОРД под ключ — политика, согласия на биометрию, договор поручения с прокторинговым сервисом.
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 на абонементной основе.

Частые вопросы

1. Когда нужно согласие родителей при прокторинге?

Согласие законного представителя (родителя, опекуна) необходимо при обработке биометрических данных любого несовершеннолетнего — независимо от возраста. Это требование ст. 9 ч. 6 ФЗ-152. Для обработки общих ПДн (имя, адрес электронной почты) несовершеннолетний в возрасте от 14 лет вправе дать согласие самостоятельно, если иное не установлено законом, однако биометрия остаётся исключительной компетенцией законного представителя.

2. Можно ли использовать Google Classroom или Zoom для прокторинга?

Использование этих сервисов для автоматической идентификации по лицу создаёт два нарушения одновременно: обработку биометрии без надлежащего согласия и трансграничную передачу ПДн на серверы, расположенные за пределами РФ, без уведомления РКН по ст. 12 ФЗ-152. Видеосвязь без функции биометрической идентификации — отдельный вопрос; правовой режим определяется тем, используется ли запись для установления личности. Рекомендация: применять российские прокторинговые сервисы с серверной инфраструктурой в РФ и готовым пакетом согласий.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с автоматической идентификацией личности по лицу или голосу — это обработка биометрических персональных данных по ст. 11 ФЗ-152. Образовательная организация или прокторинговый сервис, осуществляющий такую обработку, является оператором биометрических ПДн и обязан: получить письменное согласие, уведомить РКН о намерении обрабатывать биометрию, обеспечить защиту данных на уровне, соответствующем категории ПДн, и вести учёт обращений субъектов.

4. Кто является оператором ПДн в онлайн-школе: школа или платформа?

Оператором является то лицо, которое самостоятельно или совместно с другими определяет цели и содержание обработки (ст. 3 ФЗ-152). Если онлайн-школа заключила договор с EdTech-платформой и определяет, зачем и как обрабатываются данные учеников, — школа является оператором. Платформа выступает лицом, осуществляющим обработку по поручению. При этом договор поручения должен содержать конкретный перечень действий с ПДн и обязанность конфиденциальности. Отсутствие договора автоматически делает платформу самостоятельным оператором с отдельной ответственностью.

5. Что грозит образовательной организации за утечку биометрии при прокторинге?

За утечку биометрических ПДн предусмотрена повышенная ответственность по ч. 17 ст. 13.11 КоАП — штраф для юридического лица составляет 15–20 млн ₽. При повторном нарушении применяется оборотный штраф по ч. 18: 1–3% совокупной годовой выручки, но не более 500 млн ₽. Параллельно с административной ответственностью с 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование, передача или хранение компьютерной информации с ПДн — до 10 лет лишения свободы по ч. 5 при тяжких последствиях. Уведомление РКН об инциденте обязательно в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152).

Итог

Прокторинг с видеоидентификацией — это биометрия по ст. 11 ФЗ-152 вне зависимости от того, называет ли платформа свой продукт «контролем честности» или «системой видеонаблюдения». Образовательная организация обязана получить отдельное письменное согласие до начала сессии, а для несовершеннолетних — согласие законного представителя по ст. 9 ч. 6 ФЗ-152. С 01.09.2025 согласие не может быть частью договора или пользовательского соглашения.

Специалисты DATUM сопровождают образовательные организации и EdTech-платформы в построении документооборота по биометрическому прокторингу: от аудита текущих согласий до договоров поручения с прокторинговыми сервисами и уведомлений РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech.

14 января 2029 года