Перейти к содержанию
аналитика 4 июня 2029 По состоянию на 4 июня 2029

Согласие в онлайн-школе

Онлайн-школа — оператор персональных данных по ст. 3 ФЗ-152, и согласие здесь не формальность: с 01.09.2025 оно оформляется отдельным документом, не встроенным в договор или оферту.
За нарушение требований к составу согласия штраф по ч. 2 ст. 13.11 КоАП — от 300 000 до 700 000 ₽; при повторности по ч. 2.1 — от 1 000 000 до 1 500 000 ₽. Если утечка затронула более 100 000 субъектов, прибавьте ч. 14 — ещё 10–15 млн ₽.
Если вы юрист онлайн-школы и ещё не перестроили пакет согласий под ФЗ-156 от 24.06.2025 — читайте разбор и сверяйтесь с чек-листом ниже.

С 01.09.2025 каждое согласие на обработку персональных данных — отдельный документ. Ни договор, ни оферта, ни политика конфиденциальности его не заменяют. Для онлайн-школы это означает полный пересмотр шаблонов: согласие ученика совершеннолетнего, согласие родителя за несовершеннолетнего, отдельное согласие на распространение (публикация фото с занятий), согласие на прокторинг. В этой статье разберём, как правильно выстроить каждое из них, где юрист чаще всего ошибается и чем это заканчивается при проверке Роскомнадзора.

Кто является оператором в онлайн-школе?

Юридическое лицо или индивидуальный предприниматель, эксплуатирующий платформу и определяющий цели обработки данных учеников, является оператором по ст. 3 ФЗ-152. Это применимо независимо от того, используется ли собственная разработка или стороннее решение — например, GetCourse, Teachbase, Moodle или Google Classroom.

Если онлайн-школа передаёт обработку данных на сторонний сервис — заключается договор поручения по п. 3 ст. 6 ФЗ-152. Отсутствие такого договора — самостоятельное нарушение: инспектор РКН зафиксирует его при плановой или внеплановой проверке. Подрядчик (сервис рассылок, CRM, прокторинговая система) не снимает с оператора ответственности: по судебной практике ВС РФ оператор отвечает за утечку через подрядчика наравне с ним.

«Ст. 6 ч. 3 ФЗ-152: оператор вправе поручить обработку другому лицу на основании договора, но отвечает перед субъектом за действия этого лица.»

Отдельный вопрос — использование Google Classroom, Zoom или иных зарубежных инструментов. Запись, систематизация и хранение данных учеников — граждан РФ — должны осуществляться в базах, расположенных на территории России (ч. 5 ст. 18 ФЗ-152). Зарубежный сервис как основная база для первичного сбора данных создаёт риск по ч. 8 ст. 13.11 КоАП с штрафом от 1 000 000 до 6 000 000 ₽.

Ваши договоры с подрядчиками и CRM оформлены как поручение?

Юрист, который обнаруживает отсутствие договора поручения при проверке РКН, уже опаздывает. Это нарушение ст. 6 ФЗ-152 фиксируется в первый же день выездной проверки. DATUM проведёт аудит обработки ПДн по чек-листу из 38 пунктов и выдаст отчёт с приоритизированным планом устранения нарушений — до того, как это сделает инспектор.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Когда и как оформляется согласие на обработку ПДн несовершеннолетних?

Несовершеннолетний до 14 лет не может самостоятельно дать согласие на обработку персональных данных: требуется письменное согласие законного представителя — родителя или опекуна. Это прямо следует из ст. 9 ФЗ-152 и общегражданских норм о дееспособности. С 14 до 18 лет подросток вправе дать согласие сам, однако школе рекомендуется параллельно брать согласие родителя — особенно при обработке специальных категорий или биометрических данных.

С 01.09.2025 (ФЗ-156 от 24.06.2025) согласие оформляется отдельным документом. Включение согласия в текст договора оказания образовательных услуг или в пользовательское соглашение недопустимо. Обязательные реквизиты по ст. 9 ФЗ-152:

  • ФИО субъекта (ученика) и его законного представителя;
  • наименование и адрес оператора;
  • цель обработки — конкретная, не «любые законные цели»;
  • исчерпывающий перечень обрабатываемых персональных данных;
  • перечень действий с ПДн и способы обработки;
  • срок действия согласия или условие его прекращения;
  • подпись субъекта или его законного представителя.

Важно: если школа обрабатывает ПДн в нескольких несвязанных целях (например, для обучения и для рекламных рассылок), требуется отдельное согласие на каждую цель. Объединить их в один документ с общим заголовком нельзя — это нарушает принцип конкретности цели по ст. 5 ФЗ-152.

Что такое прокторинг с точки зрения 152-ФЗ и зачем отдельное согласие?

Прокторинг — дистанционный контроль за прохождением экзамена или теста с использованием видеозаписи, скриншотов экрана, анализа движений мыши и клавиатурного почерка. С точки зрения ФЗ-152 здесь может присутствовать обработка биометрических данных (изображение лица для идентификации по ст. 11 ФЗ-152) и, при анализе клавиатурного почерка, данных о поведении. Обработка биометрических ПДн требует письменного согласия субъекта.

«Ст. 11 ФЗ-152: биометрические персональные данные — сведения, характеризующие физиологические и биологические особенности человека, на основании которых можно установить его личность. Обрабатываются только с письменного согласия субъекта.»

Согласие на прокторинг оформляется отдельно от основного согласия на обучение. В нём указывают: конкретные категории биометрических данных (видеозапись лица, скриншоты), наименование прокторинговой системы, срок хранения записей и порядок их уничтожения. Если прокторинговый сервис зарубежный — дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

Ошибка, которая встречается часто: согласие на прокторинг включают в общие условия использования платформы мелким шрифтом, без выделения в отдельный документ. После 01.09.2025 такая практика создаёт нарушение ч. 2 ст. 13.11 КоАП — штраф от 300 000 до 700 000 ₽.

Если вы юрист и в вашей онлайн-школе прокторинг уже работает, но отдельного письменного согласия на биометрию нет — это нарушение ч. 2 ст. 13.11 КоАП. DATUM соберёт полный пакет согласий под требования ФЗ-156 и ФЗ-152 для образовательной организации.

Собрать ОРД под ключ

Как построить систему согласий: от регистрации до окончания обучения

Юрист онлайн-школы должен картировать все точки сбора данных: форма регистрации на сайте, личный кабинет, мобильное приложение, вебинарная комната, система управления обучением (LMS), форма выдачи диплома или сертификата. На каждой точке — свой перечень собираемых данных и своя цель.

Что подготовить юристу онлайн-школы

  • Согласие совершеннолетнего ученика на обработку ПДн в целях обучения — отдельный документ по ст. 9 ФЗ-152 в ред. ФЗ-156;
  • Согласие законного представителя несовершеннолетнего (до 14 лет) с полным набором реквизитов по ст. 9 ФЗ-152;
  • Отдельное согласие на распространение ПДн (публикация фото, видео с занятий) по ст. 10.1 ФЗ-152 — дефолт молчания означает запрет;
  • Согласие на прокторинг с указанием биометрической составляющей по ст. 11 ФЗ-152;
  • Договор поручения обработки ПДн с каждым подрядчиком (CRM, сервис рассылок, прокторинговая система, платёжный агент) по п. 3 ст. 6 ФЗ-152.

Согласие на рекламные рассылки — отдельный документ, ещё и пересекающийся с ФЗ «О рекламе». Использование данных, собранных для обучения, в маркетинговых целях без самостоятельного согласия — нарушение принципа целевой обработки по ст. 5 ФЗ-152 и одновременно риск по ст. 18 ФЗ «О рекламе».

Отдельная тема — ЕГЭ и ОГЭ. Если онлайн-школа помогает готовиться к государственным экзаменам и передаёт данные учеников на сторонние платформы (например, дневник.ру или региональные порталы), это самостоятельное основание обработки, которое должно быть отражено в уведомлении в РКН по ст. 22 ФЗ-152.

Типовые ситуации: что происходит при проверке и как это заканчивается

Ситуация 1. Согласие встроено в договор. Онлайн-школа включила согласие в текст договора оказания образовательных услуг в виде отдельного пункта. До 01.09.2025 это было распространённой практикой. После вступления в силу ФЗ-156 — нарушение: согласие должно быть отдельным документом. При плановой проверке РКН инспектор фиксирует нарушение ч. 2 ст. 13.11 КоАП. Стратегия: переоформить все актуальные согласия отдельными документами до проверки; для договоров, заключённых до 01.09.2025, обратная сила не применяется, однако при пролонгации договора или заключении нового — новые требования обязательны.

Ситуация 2. Прокторинг без письменного согласия на биометрию. Крупная онлайн-школа (Центральный ФО, осень 2025) использовала прокторинговую систему с верификацией по лицу. Согласие на биометрию было встроено в пользовательское соглашение, а не оформлено отдельным письменным документом. После жалобы одного из учеников РКН возбудил дело по ч. 2 ст. 13.11 КоАП. Штраф составил несколько сотен тысяч рублей. После того как школа представила исправленные шаблоны согласий и акт об уничтожении некорректно собранных данных, производство прекращено с назначением минимального штрафа. Стратегия: отдельное письменное согласие на биометрический прокторинг — до первого сеанса, не в момент подключения системы.

Ситуация 3. Утечка клиентской базы через CRM. EdTech-компания (Северо-Западный ФО, начало 2026) не заключила договор поручения с CRM-подрядчиком. При взломе подрядчика утекли данные около 15 000 учеников: ФИО, телефоны, email, история платежей. Оператор не уведомил РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152). Итог: протоколы по ч. 11 (неуведомление, 1–3 млн ₽) и по ч. 13 (утечка 10 000–100 000 субъектов, 5–10 млн ₽). Стратегия: договор поручения с каждым подрядчиком, SLA на уведомление оператора об инциденте в течение 2 часов, заранее подготовленный шаблон уведомления РКН по Приказу №187.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка всей системы согласий и ОРД образовательной организации по 38 пунктам;
  • Комплект ОРД под ключ — разработка согласий, политики, приказов и договоров поручения специально для онлайн-школ;
  • DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонентском обслуживании.

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя (родителя, опекуна) обязательно при обработке ПДн ребёнка до 14 лет. С 14 до 18 лет подросток вправе дать согласие самостоятельно, но при обработке биометрии или данных о здоровье рекомендуется параллельное согласие родителя. Форма — письменный отдельный документ по ст. 9 ФЗ-152 в редакции, действующей с 01.09.2025.

2. Можно ли использовать Google Classroom?

Использовать Google Classroom как вспомогательный инструмент (проведение вебинара, обмен материалами) возможно, если первичная запись, хранение и систематизация данных учеников происходит в базе на территории России. Использование Google Classroom как единственной и основной базы данных учеников нарушает требование локализации по ч. 5 ст. 18 ФЗ-152. Штраф — от 1 до 6 млн ₽ по ч. 8 ст. 13.11 КоАП. Юрист обязан проверить, где фактически хранятся данные учеников, а не только декларируемые настройки.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с идентификацией пользователя по лицу — обработка биометрических ПДн по ст. 11 ФЗ-152. Это требует отдельного письменного согласия субъекта с указанием конкретных видов биометрических данных, наименования прокторинговой системы и срока хранения записей. Анализ поведенческих паттернов (клавиатурный почерк) не является биометрией в классическом смысле, однако требует самостоятельного обоснования обработки.

4. Кто является оператором в онлайн-школе?

Оператором является юридическое лицо или ИП, которое определяет цели и способы обработки данных учеников — то есть сама онлайн-школа. Платформа (GetCourse, Teachbase и т. д.) в большинстве случаев является обработчиком по поручению, и с ней обязателен договор по п. 3 ст. 6 ФЗ-152. Если платформа самостоятельно определяет цели использования данных — она также становится оператором, что порождает вопросы о разграничении ответственности.

5. Что грозит школе за утечку персональных данных учеников?

Размер штрафа зависит от числа пострадавших субъектов. Утечка данных от 1 000 до 10 000 учеников — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Отдельно — штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов по ч. 11. При повторной утечке применяется оборотный штраф по ч. 15 — от 1 до 3% годовой выручки, не менее 20 млн ₽.

Итог

Система согласий в онлайн-школе — это не единый документ, а связанный пакет: отдельное согласие на обучение, отдельное на рассылки, отдельное на распространение фото и видео, отдельное на биометрический прокторинг. С 01.09.2025 каждое из них — самостоятельный документ, не встроенный в договор. За несовершеннолетних до 14 лет согласие даёт законный представитель.

DATUM сопровождает образовательные организации по 152-ФЗ: разработка пакета согласий, аудит существующих шаблонов, договоры поручения с подрядчиками, представление интересов при проверках РКН.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях, согласия родителей, прокторинг, обработка ПДн несовершеннолетних, 323-ФЗ × 152-ФЗ.

4 июня 2029 года