Перейти к содержанию
аналитика 13 января 2029 По состоянию на 13 января 2029

Согласие при дополнительном образовании

Согласие на обработку персональных данных при дополнительном образовании — это отдельный документ по ст. 9 ФЗ-152, а не строка в договоре об оказании образовательных услуг.
С 01.09.2025 по ФЗ-156 согласие нельзя включать в состав договора или публичной оферты: за нарушение состава согласия штраф достигает 700 000 руб. по ч. 2 ст. 13.11 КоАП. Если в учреждении обучаются несовершеннолетние, согласие подписывает родитель или законный представитель.
→ Если вы юрист организации дополнительного образования и сомневаетесь в составе комплекта ОРД — проверьте документы до следующей плановой проверки Роскомнадзора.

Организации дополнительного образования — онлайн-школы, кружки, курсы подготовки к ЕГЭ, языковые центры, детские секции — обрабатывают персональные данные не только взрослых слушателей, но и несовершеннолетних. Это порождает двойную нормативную нагрузку: требования ФЗ-152 наслаиваются на нормы Семейного кодекса о дееспособности. В 2025 году Роскомнадзор проводил проверки образовательных платформ как по плану, так и по жалобам субъектов. Ниже — анализ ключевых норм, типовых ошибок и инструментов защиты для юриста организации.

Кто является оператором персональных данных в организации дополнительного образования?

Оператором признаётся любое лицо, которое самостоятельно или совместно с другими определяет цели и состав обработки ПДн (ст. 3 ФЗ-152). Для организации дополнительного образования это означает следующее: как только учреждение собирает анкету при записи на курс, оно становится оператором — вне зависимости от формы собственности и численности обучающихся.

На практике в одной онлайн-школе могут действовать сразу несколько операторов. Платформа (LMS) обрабатывает данные слушателей в своих целях — и тоже является оператором. Организация, которая пользуется этой платформой, передаёт ей данные по поручению. Поручение должно быть оформлено письменным договором с перечнем допустимых действий — иначе любая передача квалифицируется как нарушение ст. 6 ФЗ-152.

«Ст. 6 ФЗ-152 (п. 3 ч. 1): обработка по поручению оператора допускается только на основании договора с указанием перечня действий, целей и обязанности соблюдать конфиденциальность.»

Отдельный вопрос — агрегаторы типа Дневник.ру, платформы ЕГЭ-подготовки и внешние сервисы проверки заданий. Если организация интегрирует их через API и передаёт ПДн учеников, она обязана либо оформить поручение, либо убедиться, что субъект дал отдельное согласие на такую передачу. В противном случае передача является самостоятельным основанием для штрафа по ч. 1 ст. 13.11 КоАП — от 150 000 до 300 000 руб.

Есть сомнения в том, правильно ли разграничены роли с платформой или подрядчиком?

Вопрос разграничения оператора и обработчика — один из наиболее частых поводов для предписаний РКН в сфере EdTech. Ошибка в квалификации роли означает отсутствие нужного правового основания обработки. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Когда требуется согласие родителей и что должно быть в его составе?

Согласие на обработку персональных данных несовершеннолетнего до 18 лет подписывает родитель или законный представитель (ч. 6 ст. 9 ФЗ-152). Исключений по возрасту ФЗ-152 не устанавливает: даже если ребёнку 17 лет и он самостоятельно записался на курс через сайт, согласие, подписанное им самим, не соответствует закону.

С 01.09.2025 ФЗ-156 ввёл требование об отдельном документе: согласие не может быть частью договора об оказании образовательных услуг, публичной оферты, правил сайта или любого другого документа. Это требование касается и согласия родителя — оно должно быть выделено в самостоятельный документ.

«Ч. 1 ст. 9 ФЗ-152 в ред. ФЗ-156 от 24.06.2025 (с 01.09.2025): согласие субъекта оформляется в виде отдельного документа и не может быть объединено с иными документами.»

Обязательные реквизиты согласия по ст. 9 ФЗ-152: ФИО субъекта (ребёнка) и законного представителя; контактные данные представителя; наименование и адрес оператора; цель обработки; перечень ПДн; перечень действий с ПДн; срок действия согласия; способ его отзыва. Отсутствие хотя бы одного реквизита переводит документ в категорию «согласие с нарушением требований» — это уже состав ч. 2 ст. 13.11 КоАП со штрафом от 300 000 до 700 000 руб. для юридического лица.

Отдельный момент — форма согласия. В письменном виде обязательно: согласие на обработку специальных категорий ПДн (сведений о здоровье ребёнка) по ст. 10 ФЗ-152, на распространение ПДн (публикация фото в соцсетях организации) по ст. 10.1 ФЗ-152, на биометрическую идентификацию (СКУД с распознаванием лица) по ст. 11 ФЗ-152. Для остальных операций письменная форма рекомендована, но технически допустима электронная с аутентификацией через личный кабинет родителя.

Что подготовить юристу организации дополнительного образования

  • Отдельное согласие законного представителя несовершеннолетнего — со всеми реквизитами по ч. 4 ст. 9 ФЗ-152, оформленное как самостоятельный документ (требование ФЗ-156 с 01.09.2025)
  • Договор-поручение с каждой платформой (LMS, Дневник.ру, внешние сервисы прокторинга) — с перечнем допустимых действий и обязанностью соблюдать конфиденциальность по ст. 6 ФЗ-152
  • Политика обработки персональных данных, опубликованная на сайте, с разделами по ч. 2 ст. 18.1 ФЗ-152 — включая перечень категорий обрабатываемых ПДн несовершеннолетних
  • Уведомление в реестре операторов Роскомнадзора (pd.rkn.gov.ru) с актуальными целями и категориями ПДн, включая ПДн несовершеннолетних и, при наличии, специальные категории
  • Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с описанием функций

Что такое прокторинг с точки зрения ФЗ-152 и когда он законен?

Прокторинг — это дистанционный контроль за прохождением экзамена или теста с использованием веб-камеры, микрофона и средств записи экрана. С точки зрения ФЗ-152 прокторинг порождает обработку биометрических персональных данных: изображение лица в режиме реального времени подпадает под определение ст. 11 ФЗ-152, если используется для идентификации конкретного человека.

Обработка биометрических ПДн требует письменного согласия субъекта (или его законного представителя — если слушателю нет 18 лет). Это согласие должно быть отдельным документом по ФЗ-156 и содержать явное указание на вид биометрии и цель идентификации. Форма согласия «на прокторинг» не может быть объединена с общим согласием на обработку ПДн — они преследуют разные цели.

«Ч. 1 ст. 11 ФЗ-152: биометрические ПДн могут обрабатываться только при наличии письменного согласия субъекта. Исключения установлены ч. 2 ст. 11 и не распространяются на коммерческие образовательные организации.»

Сервисы прокторинга, как правило, — самостоятельные операторы или обработчики. Если организация передаёт им видеозапись экзамена, это трансграничная передача в случае, когда серверы расположены за рубежом. Передача в страну без адекватной защиты ПДн требует предварительного уведомления Роскомнадзора по ст. 12 ФЗ-152. Нарушение требования локализации (первичный сбор за рубежом) влечёт штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 руб.

Если слушатель несовершеннолетний и его биометрические ПДн передаются иностранному сервису, это одновременно нарушение ст. 11 (специальный состав) и ст. 12 (трансграничка). Штрафы по ч. 16 ст. 13.11 за нарушение ст. 11 применяются самостоятельно.

Если юрист организации выявил прокторинг через иностранный сервис без уведомления РКН — это одновременно нарушение локализации и биометрии. Штрафы суммируются. Юристы DATUM соберут пакет ОРД и уведомят РКН о трансграничной передаче в срок.

Собрать ОРД под ключ

Может ли организация использовать Google Classroom и другие иностранные платформы?

Google Classroom, Microsoft Teams for Education, Zoom и аналогичные сервисы обрабатывают ПДн пользователей на серверах за пределами России. Для организации дополнительного образования это создаёт два параллельных риска: нарушение локализации (ч. 5 ст. 18 ФЗ-152) и нарушение требования об уведомлении РКН о трансграничной передаче (ст. 12 ФЗ-152).

Требование локализации означает: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн граждан РФ должны осуществляться в базах данных на территории России. Использование иностранной платформы в качестве основного хранилища учебных записей нарушает эту норму. С 01.07.2025 (ФЗ-233) это требование ужесточено: запрет распространяется на первичный сбор данных за рубежом.

«Ч. 5 ст. 18 ФЗ-152: оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн граждан РФ с использованием баз данных, находящихся на территории РФ.»

Использование иностранных инструментов не является абсолютным запретом при соблюдении условий: первичная база данных — в России; иностранный сервис получает уже обработанные данные по договору-поручению; уведомление РКН о трансграничной передаче подано до начала передачи. Если эти условия не выполнены, штраф по ч. 8 ст. 13.11 составит от 1 000 000 до 6 000 000 руб., при повторном нарушении — от 6 000 000 до 18 000 000 руб. по ч. 9.

На практике большинство организаций дополнительного образования не подают уведомление о трансграничной передаче и не заключают договор-поручение с иностранным сервисом. Это делает любую проверку РКН потенциально результативной: нарушение зафиксировано уже на этапе изучения сайта.

Типовые ситуации: как нарушения выявляются и чем заканчиваются

Ситуация 1. Согласие встроено в договор об оказании услуг. Языковой центр в Приволжском ФО (осень 2025) использовал типовой договор, в конце которого располагался абзац «Я согласен на обработку персональных данных». После ФЗ-156 это нарушение требований к составу и форме согласия — ч. 2 ст. 13.11 КоАП. При проверке по жалобе родителя инспектор РКН составил протокол. Штраф для юрлица по ч. 2 находится в диапазоне от 300 000 до 700 000 руб. Устранить нарушение задним числом невозможно: согласия, встроенные в договор до 01.09.2025, требуется переоформить при первом подходящем взаимодействии с субъектом.

Ситуация 2. Прокторинг через иностранный сервис без уведомления РКН. Онлайн-школа подготовки к ЕГЭ в Центральном ФО (начало 2026) использовала европейский сервис прокторинга. Уведомление РКН о трансграничной передаче биометрических ПДн не подавалось. По результатам плановой проверки выявлены два нарушения: ч. 8 ст. 13.11 (локализация, штраф 1–6 млн ₽) и нарушение требований к обработке биометрии по ч. 16 ст. 13.11. Суммарный диапазон штрафов — существенно выше каждого отдельного состава. Организация обратилась за юридической помощью после получения протоколов, что сократило возможности для процессуального смягчения.

Ситуация 3. Утечка ПДн несовершеннолетних через уязвимость в личном кабинете. Детский образовательный центр в Сибирском ФО (лето 2025) не уведомил РКН об инциденте в течение 24 часов, предусмотренных ч. 3.1 ст. 21 ФЗ-152 и Приказом РКН №187. Утечка затронула около 3 000 субъектов. Нарушение срока уведомления — ч. 11 ст. 13.11 КоАП, штраф 1 000 000 — 3 000 000 руб. Утечка данных от 1 000 до 10 000 субъектов — дополнительно ч. 12 ст. 13.11 КоАП, ещё 3 000 000 — 5 000 000 руб. В итоге совокупная ответственность превысила стоимость внедрения всего комплекта технических и организационных мер.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка полного комплекта документов организации дополнительного образования, включая согласия законных представителей и договоры-поручения с платформами
  • Комплект ОРД под ключ — разработка отдельных согласий по ФЗ-156, политики конфиденциальности, приказов, регламента реагирования на инциденты
  • DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152, ответы на запросы субъектов и РКН

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя (родителя или опекуна) требуется при любой обработке персональных данных несовершеннолетнего — это следует из ч. 6 ст. 9 ФЗ-152, поскольку несовершеннолетние не обладают полной дееспособностью для самостоятельного распоряжения своими правами в сфере ПДн. Исключений по возрасту закон не предусматривает: даже для 17-летнего слушателя подпись ставит родитель. С 01.09.2025 это согласие оформляется отдельным документом по ФЗ-156.

2. Можно ли использовать Google Classroom?

Использование возможно при соблюдении трёх условий: первичная база данных учеников хранится на серверах в России; иностранный сервис выступает обработчиком по договору-поручению с перечнем допустимых действий; до передачи ПДн в иностранный сервис подано уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. Без выполнения этих условий организация нарушает ч. 5 ст. 18 ФЗ-152 (локализация), что влечёт штраф от 1 000 000 до 6 000 000 руб. по ч. 8 ст. 13.11 КоАП.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг, использующий видеозапись и идентификацию личности по изображению лица, квалифицируется как обработка биометрических персональных данных по ст. 11 ФЗ-152. Это требует письменного согласия субъекта (или его законного представителя). Согласие на прокторинг должно быть отдельным от общего согласия на обработку ПДн, поскольку цели разные. Передача записей иностранному сервису дополнительно создаёт риск нарушения локализации и требований о трансграничной передаче.

4. Кто оператор в онлайн-школе?

Оператором является организация, которая определяет цели обработки ПДн слушателей, — то есть сама онлайн-школа. Если она использует стороннюю LMS-платформу, та может быть либо самостоятельным оператором (если определяет свои цели), либо обработчиком по поручению (если действует строго в рамках договора). Разграничение ролей фиксируется в письменном договоре. Отсутствие договора означает, что передача данных платформе не имеет надлежащего правового основания по ст. 6 ФЗ-152.

5. Что грозит школе за утечку персональных данных?

Ответственность зависит от масштаба утечки. За утечку ПДн от 1 000 до 10 000 субъектов штраф составляет 3 000 000 — 5 000 000 руб. по ч. 12 ст. 13.11 КоАП (в ред. ФЗ-420 с 30.05.2025). Дополнительно — штраф 1 000 000 — 3 000 000 руб. за неуведомление РКН в 24 часа по ч. 11 ст. 13.11. При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11 — от 1 до 3% годовой выручки, не менее 20 000 000 руб. Если данные несовершеннолетних использованы незаконно — возможна уголовная ответственность по ст. 272.1 УК РФ.

Итог

Обработка персональных данных в организации дополнительного образования требует двух уровней согласия: общего — по ст. 9 ФЗ-152 в редакции ФЗ-156, и специального — для биометрии (прокторинг, СКУД), распространения и трансграничной передачи. При обучении несовершеннолетних каждое согласие подписывает законный представитель. Использование иностранных платформ допустимо только при соблюдении требований локализации и уведомления РКН.

Юристы DATUM сопровождают организации дополнительного образования в части разработки комплектов согласий по новым требованиям ФЗ-156, оформления договоров-поручений с EdTech-платформами и подготовки к проверкам Роскомнадзора.

Есть ситуация с РКН или вопрос по согласиям и ОРД?

Оценим документы организации и предложим план приведения в соответствие. Практика «Ветров и партнёры» по 152-ФЗ с 2014 года. 300+ операторов сопровождено.

Оценить риски по 152-ФЗ

+7 (383) 310-38-76 · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях, согласия родителей, прокторинг, обработка ПДн несовершеннолетних, ФЗ-152 × Семейный кодекс.