инструкция 25 января 2027 По состоянию на 25 января 2027

Согласие родителей в школе: образец и сроки

Согласие родителей на обработку персональных данных ребёнка — обязательный документ для любой образовательной организации, обрабатывающей ПДн несовершеннолетних. С 01.09.2025 оно оформляется строго как отдельный документ по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Нарушение требований к форме или реквизитам согласия влечёт штраф до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. При повторном нарушении — от 1 до 1,5 млн ₽ по ч. 2.1. Проверки РКН в образовательной сфере участились: только за 2024 год зафиксировано более 135 инцидентов с ПДн по данным Роскомнадзора.

Если вы юрист школы или образовательной организации — проверьте, соответствуют ли ваши формы согласий требованиям после 01.09.2025 и есть ли полный комплект ОРД. →

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152, введённые ФЗ-156 от 24.06.2025: согласие на обработку персональных данных теперь должно быть оформлено отдельным документом и не может быть включено в текст договора, устава, политики или иного документа. Для школ это означает пересмотр всех форм: согласия от родителей за несовершеннолетних детей, согласия на публикацию фотографий, согласия для участия в олимпиадах. Ниже — пошаговая инструкция: от проверки реестра РКН до оформления документов по актуальным требованиям.

Шаг 1. Проверьте статус школы в реестре операторов РКН

Образовательная организация является оператором персональных данных с момента начала обработки ПДн. Статья 22 ФЗ-152 обязывает оператора уведомить Роскомнадзор до начала обработки. Форма уведомления утверждена Приказом РКН №180 от 28.10.2022; подача — через pd.rkn.gov.ru с использованием ЕСИА или УКЭП.

Практическая задача юриста: зайти на pd.rkn.gov.ru, найти организацию в реестре и сверить актуальные сведения. Если школа отсутствует в реестре или сведения устарели (изменился ответственный, добавились новые категории обрабатываемых данных) — подать уведомление или уведомление об изменении сведений. Неуведомление или несвоевременное уведомление образует состав по ч. 10 ст. 13.11 КоАП: штраф для юридического лица составляет от 100 000 до 300 000 ₽.

«Ст. 22 ФЗ-152 — оператор обязан уведомить уполномоченный орган до начала обработки ПДн. Срок включения в реестр — 30 дней. Форма уведомления — Приказ РКН №180 от 28.10.2022.»

Шаг 2. Назначьте ответственного за обработку ПДн по ст. 22.1 ФЗ-152

Каждая образовательная организация как юридическое лицо обязана назначить лицо, ответственное за организацию обработки персональных данных. Это требование ст. 22.1 ФЗ-152. Назначение оформляется приказом руководителя с указанием ФИО, должности, круга полномочий и контактных данных для субъектов.

Ответственный — не обязательно юрист. Это может быть заместитель директора, секретарь или иное лицо, прошедшее обучение. Главное требование ч. 4 ст. 22.1: он должен понимать нормы ФЗ-152 и обеспечивать их исполнение. Данные ответственного публикуются в политике обработки ПДн и указываются в уведомлении в РКН. Отсутствие назначенного ответственного фиксируется как нарушение ч. 1 ст. 13.11 при проверке.

Согласия уже есть, но они в трудовых договорах или уставах?

Если согласия родителей вшиты в другие документы — после 01.09.2025 они не соответствуют требованиям ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Каждый такой документ создаёт основание для штрафа до 700 000 ₽ по ч. 2 ст. 13.11 КоАП. До начала учебного года — есть время переоформить. Юристы DATUM соберут пакет согласий и ОРД под требования 2025 года.

Собрать ОРД под ключ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Шаг 3. Составьте и опубликуйте политику обработки персональных данных

Статья 18.1 ФЗ-152 обязывает оператора опубликовать политику обработки ПДн в открытом доступе — как правило, на официальном сайте образовательной организации. Невыполнение этой обязанности образует состав по ч. 3 ст. 13.11 КоАП: штраф от 30 000 до 60 000 ₽.

Требования к содержанию политики установлены ч. 2 ст. 18.1 ФЗ-152. В документе должны быть отражены: перечень операторов и лиц, осуществляющих обработку по поручению; цели обработки; правовые основания для каждой цели; перечень обрабатываемых категорий ПДн; порядок реализации прав субъектов; сведения об ответственном по ст. 22.1; порядок реагирования на запросы субъектов; меры защиты по ст. 19 ФЗ-152. Использовать шаблон политики из интернета без адаптации под конкретную организацию — риск: РКН при проверке анализирует соответствие содержания реальным процессам обработки.

«Ст. 18.1 ФЗ-152 — оператор обязан принять меры для обеспечения исполнения закона, в том числе опубликовать политику. Ч. 2 ст. 18.1 — обязательные разделы политики.»

Шаг 4. Как правильно составить согласие родителей в школе с учётом образца по ФЗ-156?

С 01.09.2025 согласие должно быть оформлено как самостоятельный документ. Нельзя включить его в текст заявления о приёме, договора об образовании или правил внутреннего распорядка. Это прямое требование ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

ФИО родителя (законного представителя) и ФИО несовершеннолетнего;
наименование и адрес оператора — образовательной организации;
цель обработки (для каждой цели — отдельный блок или отдельное согласие);
перечень персональных данных, на обработку которых даётся согласие;
перечень действий с ПДн (сбор, хранение, передача третьим лицам и т. д.);
срок действия согласия или условие его прекращения;
способ отзыва согласия;
подпись родителя (законного представителя) с датой.

Если школа передаёт данные третьим лицам — например, страховым компаниям, организаторам олимпиад, поставщикам сервисов электронного журнала — каждая передача требует отдельного указания в согласии или отдельного документа. Передача данных без указания в согласии нарушает ст. 5 ФЗ-152 (принцип целевого использования) и ст. 6 (условия обработки).

Если школа публикует фотографии учеников на сайте, в социальных сетях или в СМИ — это распространение ПДн по ст. 10.1 ФЗ-152. Требуется отдельное согласие на распространение с явным указанием перечня ресурсов. Молчание родителя означает запрет на распространение.

Шаг 5. Проверьте, нужна ли трансграничная передача и уведомление РКН

Многие школы используют облачные сервисы: электронный журнал, систему управления обучением (LMS), видеоконференции. Если серверы поставщика находятся за рубежом — возникает трансграничная передача персональных данных по ст. 12 ФЗ-152. До передачи в страну, не обеспечивающую адекватный уровень защиты ПДн, оператор обязан уведомить РКН.

С 01.07.2025 требования к локализации ужесточены: запись, систематизация, накопление, хранение, уточнение и извлечение ПДн российских граждан должны производиться в базах данных, размещённых на территории РФ (ч. 5 ст. 18 ФЗ-152). Нарушение этого требования образует состав по ч. 8 ст. 13.11 КоАП: штраф от 1 до 6 млн ₽. При повторном нарушении — от 6 до 18 млн ₽ по ч. 9.

Практический шаг: запросить у поставщика каждого облачного сервиса подтверждение местонахождения серверов. Если сервер за рубежом — проверить наличие уведомления РКН о трансграничной передаче или рассмотреть переход на российского поставщика.

Если вы юрист образовательной организации и не уверены в статусе облачных сервисов или трансграничной передаче — проверка занимает 1–2 дня, но пропущенное уведомление РКН обходится от 100 000 ₽. Юристы DATUM проверят весь комплект ОРД и правовые основания для каждого сервиса.

Заказать аудит 152-ФЗ

Как применяются эти правила на практике

Кейс 1. Юрист муниципальной школы (Сибирский ФО, осень 2025) при подготовке к учебному году обнаружил: согласия родителей вшиты в договоры об образовании, политика конфиденциальности на сайте не обновлялась с 2019 года, ответственный по ст. 22.1 не назначен. Плановая проверка РКН выявила три состава нарушений. По каждому из них — отдельный протокол: по ч. 3 ст. 13.11 (отсутствие актуальной политики), по ч. 2 (несоответствие формы согласия требованиям после 01.09.2025), по ч. 1 (обработка данных без надлежащего правового основания). Общий размер штрафа составил сотни тысяч рублей. Ситуации удалось частично избежать в апелляционной части — суд учёл принятые меры по устранению нарушений.

Кейс 2. Юрист частной образовательной организации (Центральный ФО, начало 2026) самостоятельно провёл аудит перед регистрацией нового учебного года. Выяснил: LMS-система работает на серверах европейского поставщика, уведомление о трансграничной передаче в РКН не подавалось. Юрист инициировал переход на российского поставщика, подал уведомление о намерении обрабатывать ПДн по форме Приказа РКН №180, обновил политику и комплект согласий. Плановая проверка, состоявшаяся через полгода, нарушений не выявила.

Что подготовить юристу образовательной организации

Выписка из реестра операторов ПДн с pd.rkn.gov.ru — актуальность сведений об организации и ответственном.
Политика обработки ПДн с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, опубликованная на официальном сайте.
Отдельные согласия родителей (законных представителей) по ст. 9 ФЗ-152 в редакции с 01.09.2025 — для каждой цели обработки.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием контактных данных.
Документация по трансграничной передаче: перечень облачных сервисов, местонахождение серверов, уведомления РКН при необходимости.

Типовые ситуации для юриста образовательной организации

Ситуация 1: согласие в тексте заявления о приёме. Родитель подписал заявление о приёме ребёнка, в котором был абзац о согласии на обработку ПДн. До 01.09.2025 это было спорным, после — прямо нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Риск: штраф по ч. 2 ст. 13.11 от 300 000 до 700 000 ₽. Стратегия: разработать отдельную форму согласия, собрать её со всех родителей при следующем контакте (начало учебного года), обновить форму заявления о приёме с исключением блока согласия.

Ситуация 2: публикация фотографий учеников без отдельного согласия на распространение. Школа размещает фотографии с мероприятий на сайте и в группе социальной сети. Согласие на обработку данных получено, но согласие на распространение по ст. 10.1 ФЗ-152 отдельно не оформлялось. Риск: жалоба родителя в РКН, возбуждение дела, штраф по ч. 1 ст. 13.11. Стратегия: ввести отдельную форму согласия на распространение с перечнем конкретных ресурсов; для тех, кто не дал согласия — исключить из публикаций немедленно.

Ситуация 3: проверка РКН пришла без предупреждения. Внеплановая проверка, как правило, инициируется по жалобе субъекта. У юриста есть право запросить основание проверки и срок. Необходимо немедленно собрать весь пакет ОРД, политику, согласия, журнал учёта обращений субъектов за 12 месяцев и журнал инцидентов. Стратегия: при отсутствии полного пакета — зафиксировать факт принятия мер по устранению (это учитывается при определении размера штрафа по ст. 4.1 КоАП).

Услуги DATUM по теме

Комплект ОРД под ключ — 38 документов: политика, согласия, приказы, регламенты, журналы.
Аудит соответствия 152-ФЗ — проверка по чек-листу из 38 пунктов, приоритизированный план устранения.
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании, включая ответы субъектам.

Частые вопросы

1. Какие документы должны быть у оператора ПДн — образовательной организации?

Минимальный пакет включает: уведомление в реестре РКН (ст. 22 ФЗ-152), политику обработки ПДн (ст. 18.1), отдельные согласия субъектов или законных представителей (ст. 9 в ред. с 01.09.2025), приказ о назначении ответственного (ст. 22.1), приказы о допуске к ПДн, журнал учёта обращений субъектов, регламент реагирования на инциденты. Для передачи данных третьим лицам — договор поручения обработки по п. 3 ст. 6 ФЗ-152.

2. Как составить политику обработки ПДн для школы?

Структура политики определяется ч. 2 ст. 18.1 ФЗ-152. Обязательны разделы: цели и правовые основания обработки для каждого типа данных, категории субъектов (ученики, родители, сотрудники), перечень обрабатываемых ПДн, условия передачи третьим лицам, сроки хранения, меры защиты, порядок реализации прав субъектов. Политика публикуется на сайте организации в открытом доступе. Шаблон из интернета без адаптации не подходит: РКН сверяет содержание с реальными процессами.

3. Кого назначить ответственным по ст. 22.1 ФЗ-152?

Ответственным назначается сотрудник организации приказом руководителя. Это может быть заместитель директора, юрист, секретарь или любое другое лицо, которое понимает требования ФЗ-152 и готово отвечать на запросы субъектов. Контактные данные ответственного публикуются в политике обработки ПДн и указываются в уведомлении в РКН. Закон не требует специального образования, но ч. 4 ст. 22.1 предписывает наличие знаний в области защиты ПДн. Если такого сотрудника нет — функцию можно передать на DPO-аутсорсинг.

4. Можно ли использовать шаблон политики конфиденциальности из интернета?

Использовать шаблон как основу — допустимо, но без обязательной адаптации риск высок. РКН при проверке анализирует, соответствует ли политика реальным процессам организации: какие данные фактически собираются, кому передаются, на каких серверах хранятся. Типовой шаблон не учитывает специфику конкретной школы — перечень поставщиков, региональные системы (Сетевой город, Электронный дневник), особенности ЕГИСО. Несоответствие политики реальной обработке фиксируется как нарушение ст. 18.1 ФЗ-152.

5. Какие согласия нужно переоформить после 01.09.2025?

Переоформлению подлежат все согласия, которые были включены в состав других документов: заявлений, договоров об образовании, уставов, правил внутреннего распорядка. С 01.09.2025 согласие — отдельный документ по ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Согласия, оформленные до 01.09.2025 как отдельный документ с полным набором реквизитов по ст. 9, переоформлять не требуется — обратной силы закон не имеет. Согласия на распространение ПДн по ст. 10.1 оформляются отдельно от согласий на обработку в любом случае.

6. Что грозит школе за отсутствие согласия родителей в нужной форме?

Обработка ПДн несовершеннолетнего без согласия законного представителя или с нарушением требований к форме и реквизитам согласия квалифицируется по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — от 300 000 до 700 000 ₽. При повторном нарушении по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. Кроме того, если РКН возбудит дело по жалобе родителя, организация обязана будет уничтожить или прекратить обработку ПДн в порядке ст. 21 ФЗ-152.

Итог

Согласие родителей в школе после 01.09.2025 — самостоятельный документ с обязательными реквизитами по ст. 9 ФЗ-152: ФИО, цель, перечень данных, перечень действий, срок, способ отзыва, подпись. Включение его в заявление о приёме или договор об образовании — основание для штрафа до 700 000 ₽. Полный комплект ОРД включает не только согласия, но и политику по ст. 18.1, приказ об ответственном по ст. 22.1 и уведомление в РКН по Приказу №180.

Практика DATUM по сопровождению образовательных организаций включает разработку комплектов ОРД, аудит существующих согласий и политик, подготовку уведомлений в РКН, а также сопровождение при проверках Роскомнадзора.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

25 января 2027 года