аналитика 13 января 2027 По состоянию на 13 января 2027

Согласие в детском саду

Детский сад — оператор персональных данных несовершеннолетних. Согласие на обработку ПДн ребёнка даёт его законный представитель: родитель или опекун.

С 01.09.2025 согласие — отдельный документ (ФЗ-156 от 24.06.2025): его нельзя включить в договор оказания услуг или устав. Нарушение состава согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

→ Если вы юрист образовательной организации и согласия родителей ещё включены в договор с учредителем — к 01.09.2025 это уже нарушение.

Юрист, сопровождающий дошкольное учреждение, сталкивается с несколькими нетривиальными пластами: согласие законного представителя несовершеннолетнего, специальные категории ПДн (сведения о здоровье ребёнка), передача данных в государственные реестры и сторонним организациям. В этом материале — разбор нормативных требований, типичных ошибок и практических сценариев для детского сада как оператора ПДн.

Кто является оператором и какие данные обрабатывает детский сад?

По ст. 3 ФЗ-152 оператор — организация или физическое лицо, которые самостоятельно или совместно с другими лицами определяют цели и состав обрабатываемых ПДн. Детский сад — юридическое лицо или учреждение — обрабатывает данные сразу трёх категорий субъектов: воспитанников (несовершеннолетних), их родителей и законных представителей, а также работников.

Типичный состав данных воспитанника: фамилия, имя, отчество, дата рождения, адрес, сведения о здоровье (медицинская карта, прививочный сертификат, диагнозы), фотографии на утренниках и выпускных, записи видеонаблюдения. Сведения о состоянии здоровья — специальная категория ПДн по ст. 10 ФЗ-152. Их обработка допустима только при наличии письменного согласия либо по другим основаниям п. 2 ст. 10 ФЗ-152 (например, для защиты жизни и здоровья ребёнка, если субъект не способен дать согласие).

«Ст. 10 ФЗ-152 запрещает обработку данных о состоянии здоровья без письменного согласия. Исключение — случаи, перечисленные в ч. 2 ст. 10: медицинская помощь при невозможности получить согласие, охрана здоровья населения, исполнение судебного акта и ряд иных оснований.»

Фотографии и видеозаписи, позволяющие идентифицировать конкретного ребёнка, формально относятся к биометрическим ПДн по ст. 11 ФЗ-152, если используются именно для установления личности. Роскомнадзор в своей правоприменительной практике ориентируется на цель использования: если фото публикуется на сайте садика для демонстрации образовательного процесса — РКН квалифицирует это как распространение ПДн по ст. 10.1 ФЗ-152, а не как биометрию. Однако письменное согласие необходимо в обоих случаях.

Какие требования к согласию законного представителя в 2025 году?

Несовершеннолетние до 18 лет не дают согласие на обработку ПДн самостоятельно. По ст. 9 ФЗ-152 и нормам Гражданского кодекса законным представителем является родитель, усыновитель или опекун. Именно он подписывает согласие от имени ребёнка-субъекта.

С 01.09.2025 — дата вступления в силу ФЗ-156 от 24.06.2025 — согласие на обработку ПДн должно быть оформлено отдельным документом. Включение согласия в текст договора об оказании образовательных услуг, устав, анкету зачисления или любой иной документ нарушает требование ч. 1 ст. 9 ФЗ-152 в действующей редакции.

«Ст. 9 ч. 1 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: согласие субъекта на обработку его персональных данных оформляется в виде отдельного документа. Обязательные реквизиты: ФИО субъекта (ребёнка) и представителя, контактные данные, наименование оператора, цель обработки, перечень ПДн, перечень допустимых действий, срок действия согласия, порядок отзыва.»

Помимо общего согласия на обработку ПДн, детский сад обязан получать отдельные согласия в случаях, когда данные передаются третьим лицам, размещаются в открытом доступе или используются для целей, выходящих за пределы образовательного процесса. Публикация фотографий ребёнка на сайте учреждения, в социальных сетях или буклете — это распространение ПДн по ст. 10.1 ФЗ-152, которое требует отдельного согласия с правом субъекта установить запрет на передачу данных.

Согласия родителей ещё включены в договор или анкету зачисления?

После 01.09.2025 такая форма нарушает ч. 1 ст. 9 ФЗ-152 в редакции ФЗ-156. Штраф по ч. 2 ст. 13.11 КоАП за обработку ПДн без надлежащего согласия — 300 000–700 000 ₽. Юристы DATUM соберут пакет согласий по новым требованиям и проведут аудит ОРД образовательной организации.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Как детский сад обрабатывает медицинские данные и передаёт их третьим лицам?

Медицинская карта ребёнка, справки о прививках, заключения врачей — это специальные категории ПДн. Детский сад, как правило, получает их от родителей и передаёт: медицинскому персоналу учреждения, в региональный орган управления образованием, в медицинские организации при необходимости. Каждый такой случай передачи должен быть предусмотрен либо согласием, либо нормой закона.

При передаче данных подрядчику — например, организации, обеспечивающей медицинское обслуживание воспитанников, — детский сад выступает оператором, а подрядчик — лицом, осуществляющим обработку по поручению (ч. 3 ст. 6 ФЗ-152). Поручение должно быть оформлено договором с перечнем допустимых действий с ПДн. Отсутствие поручения при фактической передаче данных — нарушение ч. 3 ст. 6 ФЗ-152 и риск штрафа по ч. 1 ст. 13.11 КоАП (150 000–300 000 ₽).

Что подготовить детскому саду для соответствия 152-ФЗ

Уведомление о намерении обрабатывать ПДн в реестре РКН (ст. 22 ФЗ-152) — подаётся через pd.rkn.gov.ru до начала обработки.
Отдельные согласия законных представителей по реквизитам ст. 9 ФЗ-152 (в редакции с 01.09.2025): общее согласие, согласие на распространение фото/видео, согласие на передачу медицинских данных подрядчикам.
Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152, размещённая на сайте или информационном стенде.
Договоры-поручения с организациями, которые обрабатывают ПДн по заданию детского сада (мед. организации, IT-провайдеры, операторы систем видеонаблюдения).
Приказ о назначении лица, ответственного за организацию обработки ПДн, по ст. 22.1 ФЗ-152.

Отдельного внимания требует видеонаблюдение. Если детский сад использует систему видеонаблюдения с записью, он обязан уведомить субъектов (в том числе родителей как законных представителей) о ведении видеосъёмки, указать цель и сроки хранения записей. Доступ к записям третьих лиц — правоохранительных органов, органов опеки — регулируется отдельными нормами и не требует дополнительного согласия субъекта, но должен быть задокументирован.

Типовые сценарии нарушений в дошкольных учреждениях

Сценарий 1. Согласие в договоре с родителем. Детский сад включает согласие на обработку ПДн в текст договора об образовательных услугах. До 01.09.2025 это было распространённой практикой с правовой неопределённостью; с этой даты — прямое нарушение ч. 1 ст. 9 ФЗ-152. При проверке РКН составит протокол по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000–700 000 ₽. Стратегия: немедленно переоформить согласия в отдельные документы; обратная сила у ФЗ-156 отсутствует, ранее полученные согласия переоформлять необязательно — только новые.

Сценарий 2. Публикация фотографий воспитанников без отдельного согласия. Сад размещает фото с утренника на своём сайте и в группе ВКонтакте. Согласия на распространение ПДн (ст. 10.1 ФЗ-152) нет — есть только общее согласие на обработку. РКН при жалобе родителя возбуждает дело по ч. 1 ст. 13.11 (обработка в целях, не совместимых с заявленными). Доказательства: скриншоты с сайта, отсутствие отдельного согласия на распространение в пакете документов. Вероятный исход — штраф 150 000–300 000 ₽. Стратегия: получить отдельное согласие по ст. 10.1 с указанием конкретных каналов размещения; при отсутствии согласия — удалить изображения.

Сценарий 3. Передача медицинских данных без поручения. Детский сад пользуется услугами внешней медицинской организации. Журналы прохождения медосмотров, справки о прививках передаются фактически, но договор с медорганизацией не содержит раздела о поручении обработки ПДн по ст. 6 ч. 3. При проверке — нарушение ч. 1 ст. 13.11 КоАП. Стратегия: дополнить договор с медорганизацией разделом-поручением с перечнем допустимых действий, категорий ПДн, срока и обязательств по конфиденциальности.

Если вы юрист образовательной организации и получили запрос от РКН или жалобу родителя — нужна оценка рисков и стратегия защиты. Юристы DATUM сопроводят взаимодействие с регулятором и подготовят пакет ОРД.

Собрать ОРД под ключ

Как применяется практика на примере образовательных организаций

Кейс 1. Дошкольное образовательное учреждение (Сибирский ФО, осень 2025) получило предписание РКН после жалобы родителя на публикацию фото ребёнка в официальной группе учреждения. Проверка выявила отсутствие отдельного согласия на распространение ПДн по ст. 10.1 ФЗ-152 и включение общего согласия в договор с родителями. Учреждение как субъект малого предпринимательства получило предупреждение по ст. 4.1.1 КоАП при условии устранения нарушений в 30-дневный срок. Юрист учреждения разработал комплект отдельных согласий и внёс изменения в политику обработки ПДн — предписание было снято.

Кейс 2. Частный детский сад (Центральный ФО, начало 2026) при внеплановой проверке РКН не смог предъявить актуальное уведомление в реестре операторов ПДн: организация сменила наименование, но уведомление об изменении сведений по ст. 22 ФЗ-152 в РКН не направила. Дополнительно — отсутствовал договор-поручение с IT-провайдером, ведущим базу данных воспитанников. Протокол по ч. 10 ст. 13.11 КоАП (неуведомление о намерении обрабатывать) и ч. 1 ст. 13.11. Штраф по двум эпизодам — в диапазоне сотен тысяч рублей. Юрист подключился на стадии составления протокола, обеспечил замену штрафа по ч. 1 на предупреждение для субъекта малого бизнеса через ст. 4.1.1 КоАП; штраф по ч. 10 был оспорен в части размера.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации образовательной организации по чек-листу из 38 пунктов.
Комплект ОРД под ключ — согласия, политика, приказы, договоры-поручения для детского сада.
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие законного представителя требуется всякий раз, когда основанием обработки является именно согласие по п. 1 ч. 1 ст. 6 ФЗ-152. Это публикация фотографий, передача данных сторонним организациям без прямого требования закона, использование данных в маркетинговых целях учреждения. Если обработка обусловлена исполнением договора об образовательных услугах или требованием закона — отдельное согласие не нужно, достаточно иного правового основания ст. 6 ФЗ-152.

2. Можно ли использовать Google Classroom или иные зарубежные сервисы для работы с данными воспитанников?

Использование зарубежных облачных сервисов при обработке ПДн российских граждан сопряжено с двумя рисками. Первый — нарушение ч. 5 ст. 18 ФЗ-152 о локализации: первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России. Второй — необходимость уведомления РКН о трансграничной передаче по ст. 12 ФЗ-152, если данные фактически передаются на серверы за рубеж. Штраф за нарушение локализации — 1–6 млн ₽ по ч. 8 ст. 13.11 КоАП, за повторное — 6–18 млн ₽.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль за выполнением учебных заданий с использованием видеосъёмки, захвата экрана и идентификации личности. С позиции ФЗ-152 прокторинг предполагает обработку биометрических ПДн (изображение лица для идентификации — ст. 11 ФЗ-152) и, как правило, специальных категорий (голос, поведенческие характеристики). Для несовершеннолетних необходимо письменное согласие законного представителя на обработку биометрических ПДн ребёнка. Использование прокторинговых систем без такого согласия — нарушение ст. 11 ФЗ-152 с риском штрафа по ч. 16 ст. 13.11 КоАП.

4. Кто является оператором ПДн в частной онлайн-школе или EdTech-сервисе для дошкольников?

Оператором является организация или ИП, которые определяют цели и состав обработки ПДн (ст. 3 ФЗ-152). В типичной онлайн-школе это сам EdTech-сервис. Если школа использует платформу стороннего разработчика — она должна заключить договор-поручение по ч. 3 ст. 6 ФЗ-152: тогда платформа становится обработчиком, а школа остаётся оператором и несёт ответственность перед субъектами и РКН. Передача данных без поручения означает, что обе стороны могут быть признаны самостоятельными операторами с соответствующими обязательствами.

5. Что грозит детскому саду или школе за утечку данных воспитанников?

Размер ответственности зависит от масштаба утечки. Утечка данных 1 000–10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; 10 000–100 000 субъектов — 5–10 млн ₽ по ч. 13; более 100 000 — 10–15 млн ₽ по ч. 14. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн ₽. Помимо этого, при обнаружении инцидента учреждение обязано уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) и направить отчёт в течение 72 часов по Приказу РКН №187. Неуведомление — дополнительный штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП.

Итог

Детский сад как оператор ПДн обрабатывает данные несовершеннолетних, их законных представителей и сотрудников. Ключевые требования — отдельное согласие с 01.09.2025, письменная форма для специальных категорий (медицинские данные), договор-поручение с каждым обработчиком, уведомление в реестре РКН и политика обработки ПДн в открытом доступе. Нарушение любого из этих требований создаёт административный риск от 150 000 до 700 000 ₽ при первичном нарушении и значительно выше — при утечке данных воспитанников.

Юристы DATUM сопровождают образовательные организации — от дошкольных учреждений до EdTech-платформ: аудит обработки ПДн, разработка комплекта согласий по требованиям ФЗ-156, подготовка к проверкам Роскомнадзора.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Специализация — ПДн в медицине и образовании: МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна, EdTech, прокторинг, ПДн несовершеннолетних.