аналитика 14 января 2029 По состоянию на 14 января 2029

Skyeng, GeekBrains и 152-ФЗ

Онлайн-школы обрабатывают ПДн несовершеннолетних, биометрию через прокторинг, данные родителей и результаты обучения — это три категории риска одновременно.

С 30.05.2025 штраф за утечку от 10 000 субъектов достигает 10 млн ₽ по ч. 13 ст. 13.11 КоАП; для крупных EdTech-платформ с базой в миллионы записей применима ч. 14 — до 15 млн ₽. Прокторинг без отдельного письменного согласия на биометрию — самостоятельное нарушение ст. 11 ФЗ-152.

Если вы юрист онлайн-школы или EdTech-платформы — проверьте, соответствует ли документация требованиям ФЗ-152 в редакции 2025 года до первого запроса РКН.

Рынок онлайн-образования в России обрабатывает персональные данные десятков миллионов субъектов: учеников, родителей, преподавателей, соискателей курсов. Platforma GeekBrains — несколько миллионов зарегистрированных пользователей; Skyeng — более 1,5 млн студентов только на русскоязычном рынке. Масштаб означает, что любая утечка автоматически попадает в диапазон ч. 13–14 ст. 13.11 КоАП (от 5 до 15 млн ₽), а при повторности — в оборотный штраф по ч. 15 (1–3% годовой выручки, но не менее 20 млн ₽). В этом материале — анализ типовых нарушений EdTech-платформ, применимые нормы ФЗ-152 и практика РКН 2024–2026 годов.

Какие данные обрабатывают онлайн-школы и почему это не «просто регистрация»?

Образовательная организация в цифровом формате — оператор ПДн как минимум по пяти категориям одновременно. Первая — общие ПДн учеников и родителей: ФИО, дата рождения, контакты, платёжная информация. Вторая — ПДн несовершеннолетних: данные детей до 18 лет, согласие на обработку которых даётся родителями или иными законными представителями в особом порядке. Третья — биометрические ПДн: видеозапись лица и голоса при дистанционных занятиях и прокторинге. Четвёртая — данные об успеваемости и результатах диагностики, которые при определённой интерпретации могут затрагивать психологические характеристики субъекта — пограничная зона ст. 10 ФЗ-152 о специальных категориях. Пятая — данные преподавателей и сотрудников, которые обрабатываются параллельно по требованиям ТК РФ и ст. 86–88 ТК × ФЗ-152.

Ключевая проблема EdTech: большинство платформ собирали ПДн по схеме «галочка в оферте», не разграничивая основания обработки по ст. 6 ФЗ-152. После 01.09.2025 (ФЗ-156 от 24.06.2025) согласие на обработку ПДн — отдельный документ, не объединяемый с договором-офертой, условиями использования или политикой конфиденциальности. Платформы, которые встроили согласие в пользовательское соглашение, должны были переработать документацию к 01.09.2025. Ранее полученные согласия сохраняют силу — обратной силы закон не имеет, но новые пользователи после этой даты должны давать согласие отдельным документом.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: с 01.09.2025 согласие субъекта на обработку ПДн оформляется в виде отдельного документа — не допускается его объединение с иными документами, в том числе с договором или офертой.»

Ваша документация собрана до 01.09.2025?

Если согласия пользователей онлайн-школы встроены в оферту или пользовательское соглашение — это нарушение ст. 9 ФЗ-152 в актуальной редакции. Каждое несоответствие требованиям к составу согласия даёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит документооборота EdTech-платформы по чек-листу 38 пунктов и выдадут план устранения нарушений с приоритизацией.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда прокторинг становится нарушением ст. 11 ФЗ-152?

Прокторинг — дистанционный контроль прохождения экзамена или теста с использованием веб-камеры и микрофона. Если система прокторинга идентифицирует личность ученика по изображению лица — это обработка биометрических ПДн по смыслу ст. 11 ФЗ-152. Изображение лица как биометрический идентификатор требует письменного согласия субъекта (или его законного представителя для несовершеннолетних) — отдельного от общего согласия на обработку ПДн.

Типичная ошибка EdTech: ссылка в оферте на «видеонаблюдение в ходе экзаменов» без отдельного биометрического согласия, без указания оператора прокторинговой системы как третьей стороны, которой передаются ПДн. Если прокторинг осуществляет внешний сервис (Proctoredu, Examus и аналоги) — в цепочке появляется поручение обработки по п. 3 ч. 3 ст. 6 ФЗ-152, которое требует отдельного договора-поручения с перечнем действий и обязательством конфиденциальности. Без такого договора онлайн-школа нарушает как ст. 11, так и ст. 6 ФЗ-152 одновременно.

«Ст. 11 ФЗ-152: биометрические ПДн — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обработка допускается только при наличии письменного согласия субъекта, за исключением случаев, прямо предусмотренных законом.»

Для несовершеннолетних учеников риск удваивается: ПДн ребёнка — в том числе биометрические — обрабатываются без надлежащего согласия законного представителя. Ст. 9 ФЗ-152 требует, чтобы согласие за несовершеннолетнего давал родитель или иной законный представитель. На практике большинство школьных онлайн-платформ получают акцепт от самого ребёнка через форму регистрации. Это — дефект основания обработки, который РКН фиксирует при проверках образовательных организаций.

Что означает ст. 6 ч. 1 п. 6 ФЗ-152 для образовательной организации?

Онлайн-школа, в отличие от традиционной образовательной организации с лицензией, нередко не имеет основания обработки ПДн по п. 2 ч. 1 ст. 6 ФЗ-152 (исполнение обязанностей, возложенных законодательством). Это означает, что единственным рабочим основанием для большинства процессов остаётся согласие (п. 1) или исполнение договора (п. 5). Данные для маркетинга, ретаргетинга, профилирования студентов, передачи партнёрам — требуют отдельного согласия, а не прикрытия договорной оговоркой.

Платформы типа Дневник.ру или сервисы подготовки к ЕГЭ дополнительно обрабатывают данные, связанные с успеваемостью и учебными результатами несовершеннолетних. Передача этих данных родителям — законна и предусмотрена; передача третьим лицам (рекламодателям, партнёрским курсам) — требует отдельного согласия с указанием конкретных получателей. Несоответствие цели обработки целям, заявленным в уведомлении РКН по ст. 22 ФЗ-152, влечёт штраф по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Что проверить юристу EdTech-платформы

Отдельные согласия на обработку ПДн — не встроены в оферту (ст. 9 ФЗ-152, ред. с 01.09.2025)
Письменное согласие законных представителей на обработку ПДн несовершеннолетних, в том числе биометрических
Договор-поручение с прокторинговым сервисом как третьей стороной (п. 3 ч. 3 ст. 6 ФЗ-152)
Уведомление РКН по ст. 22 ФЗ-152 с актуальным перечнем целей и категорий ПДн, включая биометрию
Политика конфиденциальности с разделом о несовершеннолетних и порядком отзыва согласия

Если юрист онлайн-школы готовит документацию к проверке РКН — соберите пакет ОРД до начала проверки. Типовой комплект для EdTech включает не менее 12 специализированных документов сверх стандартных 38 позиций. DATUM собирает ОРД под ключ от 45 000 ₽.

Собрать ОРД под ключ

Как это применяется на практике: сценарии для EdTech-юриста

Сценарий 1. Утечка базы студентов крупной онлайн-платформы. Ситуация: база данных платформы с 80 000 студентов скомпрометирована через уязвимость в API. Данные включают ФИО, email, телефоны, историю платежей. Доказательная база: логи API-обращений, дата первичного обнаружения, внутренний отчёт ИБ-службы. Вероятный исход: штраф по ч. 13 ст. 13.11 КоАП (утечка от 10 000 до 100 000 субъектов) — 5 000 000–10 000 000 ₽; дополнительно — штраф по ч. 11 за несвоевременное уведомление РКН об инциденте (1 000 000–3 000 000 ₽), если уведомление направлено позже 24 часов с момента обнаружения. Стратегия: немедленное первичное уведомление РКН через форму на pd.rkn.gov.ru, фиксация времени обнаружения, подготовка 72-часового отчёта по Приказу РКН №187, параллельно — анализ оснований для применения смягчающих обстоятельств по ст. 4.1 КоАП.

Сценарий 2. Проверка РКН в связи с жалобой родителя на обработку ПДн ребёнка. Ситуация: родитель направил жалобу в РКН на то, что онлайн-школа использовала фото ребёнка в рекламной рассылке без согласия. РКН инициировал внеплановую документарную проверку. Доказательства: договор с родителем, форма регистрации, скриншоты email-рассылки, ответы платформы на запросы РКН. Вероятный исход: нарушение ст. 10.1 ФЗ-152 (распространение ПДн без отдельного согласия) + нарушение ст. 11 ФЗ-152 (биометрия — фото ребёнка использовалось как идентифицирующий элемент) — штраф по ч. 2 ст. 13.11 (300 000–700 000 ₽). Стратегия: немедленное предоставление всего запрошенного пакета документов, подготовка письменных объяснений с указанием на принятые меры, устранение нарушения до вынесения постановления — снижает риск максимального штрафа.

Сценарий 3. Google Classroom и трансграничная передача ПДн. Ситуация: онлайн-школа использует Google Classroom для управления учебным процессом. Данные учеников передаются на серверы Google (США). Доказательная база: условия использования Google Workspace for Education, договор с платформой, уведомление РКН. Вероятный исход: нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и/или ст. 12 ФЗ-152 (трансграничная передача без уведомления РКН) — штраф по ч. 8 ст. 13.11 КоАП (1 000 000–6 000 000 ₽) при условии, что первичный сбор, накопление и хранение ПДн граждан РФ ведутся в иностранной базе. Стратегия: анализ фактической архитектуры обработки — часть функций Google Workspace может квалифицироваться как инструмент, а не как основная база хранения; при необходимости — уведомление РКН о трансграничной передаче, оценка возможности перехода на отечественные аналоги.

Кейс из практики. В деле образовательной платформы Сибирского ФО (осень 2025) РКН провёл документарную проверку после жалобы родителя на прокторинг без биометрического согласия. Платформа использовала внешний прокторинговый сервис без договора-поручения. Арбитражный суд региона квалифицировал нарушение по ч. 2 ст. 13.11 (отсутствие письменного согласия на обработку биометрии) и по ч. 1 ст. 13.11 (обработка в отсутствие правового основания — договора-поручения с прокторингом). Совокупный штраф составил несколько сотен тысяч рублей; компания дополнительно понесла расходы на переработку документации. Применение ст. 4.1.1 КоАП было отклонено ввиду комбинированного нарушения.

Кейс из публичной практики (case_S2_pkr_analitika). АС Санкт-Петербурга и Ленинградской области в деле № А56-4733/2026 рассматривал утечку около 70 000 субъектов (ФИО, должность, служебный email, телефон) после хакерской атаки. Суд квалифицировал нарушение по ч. 14 ст. 13.11 КоАП и применил смягчающие обстоятельства. Для EdTech-платформ аналогичного масштаба этот прецедент показывает: факт хакерской атаки не освобождает оператора от ответственности, однако оперативное уведомление РКН и представление доказательств принятых мер защиты учитываются при определении размера санкции.

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие законного представителя (родителя или опекуна) требуется при обработке ПДн несовершеннолетнего во всех случаях, когда основанием обработки является согласие по ст. 9 ФЗ-152. Это актуально для регистрации на платформе, передачи данных третьим лицам, использования в маркетинге, обработки биометрии через прокторинг. Ребёнок, достигший 14 лет, может давать согласие самостоятельно только в случаях, прямо предусмотренных законом; для большинства EdTech-операций этого исключения нет — согласие даёт родитель. Форма — письменная или электронная с квалифицированной электронной подписью; электронный акцепт через галочку в форме регистрации формально недостаточен для биометрических данных.

2. Можно ли использовать Google Classroom в российской онлайн-школе?

Использование возможно при соблюдении двух условий. Первое: первичный сбор, накопление и хранение ПДн граждан РФ должны осуществляться в базах данных на территории РФ (ч. 5 ст. 18 ФЗ-152). Если Google Classroom используется как инструмент доступа к данным, хранящимся в российской инфраструктуре, — риск локализации снижается. Второе: если данные реально хранятся на серверах Google за рубежом — необходимо уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 до начала такой передачи; для США уведомление подаётся в отношении страны без адекватной защиты. На практике большинство школ этого не делали, что создаёт риск штрафа по ч. 8 ст. 13.11 КоАП (1–6 млн ₽).

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг, использующий идентификацию личности по изображению лица или голосу, квалифицируется как обработка биометрических ПДн по ст. 11 ФЗ-152. Это означает: обязательное письменное согласие субъекта (для несовершеннолетних — законного представителя) до начала прокторинговой сессии; уведомление РКН о соответствующей цели обработки биометрии; договор-поручение с прокторинговым сервисом как обработчиком по п. 3 ч. 3 ст. 6 ФЗ-152. Если прокторинг используется только для наблюдения без автоматической идентификации личности — биометрическая квалификация спорна, но РКН в своих разъяснениях склонен трактовать видеозапись лица расширительно.

4. Кто является оператором ПДн в онлайн-школе?

Оператором является юридическое лицо или индивидуальный предприниматель, который самостоятельно или совместно с другими лицами организует и осуществляет обработку ПДн (ст. 3 ФЗ-152). В онлайн-школе оператор — сама платформа (ООО или АО), заключающая договор с учеником или родителем. Если платформа передаёт данные внешнему сервису (прокторинг, CRM, email-рассылки) — этот сервис становится обработчиком по поручению, но ответственность перед субъектом и РКН остаётся на операторе. Франчайзинговые модели (например, школы на базе чужой платформы) создают сложности: юридически оператором может быть как франчайзер, так и франчайзи — это нужно определять в договоре явно.

5. Что грозит онлайн-школе за утечку базы студентов?

Размер санкции зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — штраф 3 000 000–5 000 000 ₽ по ч. 12 ст. 13.11 КоАП (в редакции ФЗ-420 от 30.11.2024, действует с 30.05.2025). От 10 000 до 100 000 субъектов — 5 000 000–10 000 000 ₽ по ч. 13. Более 100 000 субъектов — 10 000 000–15 000 000 ₽ по ч. 14. Дополнительно: если уведомление РКН об инциденте направлено позже 24 часов с момента обнаружения — штраф 1 000 000–3 000 000 ₽ по ч. 11. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Итог

EdTech-платформы накопили системные нарушения ФЗ-152 в трёх точках: согласия пользователей (встроены в оферту вместо отдельного документа), биометрия через прокторинг (без письменного согласия и договора-поручения), трансграничная передача через зарубежные сервисы (без уведомления РКН). С 30.05.2025 цена каждого из этих нарушений при утечке измеряется не сотнями тысяч, а миллионами рублей — в зависимости от размера базы.

Практика DATUM включает сопровождение EdTech-платформ при проверках РКН, разработку специализированных пакетов ОРД для онлайн-школ (включая документы по прокторингу, согласиям родителей и передаче данных несовершеннолетних), а также защиту от штрафов по ст. 13.11 КоАП в арбитражных судах.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документооборота EdTech по 38 пунктам
Комплект ОРД под ключ — политика, согласия родителей, биометрические согласия, договоры-поручения
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ), МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

14 января 2029 года