аналитика 7 апреля 2029 По состоянию на 7 апреля 2029

Согласие в репетиторстве

Репетитор и онлайн-школа обрабатывают персональные данные несовершеннолетних — ФИО, контакты родителей, успеваемость. По ст. 9 ФЗ-152 согласие за ребёнка до 18 лет даёт законный представитель.

С 01.09.2025 согласие — отдельный документ (ФЗ-156 от 24.06.2025). Вписать его в договор оказания услуг больше нельзя. За нарушение порядка получения согласия — штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽.

Если вы юрист образовательной организации или онлайн-школы — ниже разбор норм, типовых ошибок и что переделать до начала следующего учебного года.

Репетиторский рынок в 2025–2026 годах активно перешёл в онлайн: платформы с видеоуроками, личные кабинеты, прокторинг на ЕГЭ-подготовке, интеграции с Дневник.ру и ЕГИСЗ. Каждая такая функция — новое основание для обработки персональных данных. Роскомнадзор в 2024–2025 годах включил образовательные организации в число приоритетных объектов плановых проверок. Юрист, сопровождающий школу или онлайн-сервис, должен понимать, какие согласия требуются, в какой форме, и что изменилось с введением ФЗ-156.

Когда именно нужно согласие родителей и что в нём должно быть?

Обработка персональных данных несовершеннолетнего по общему правилу требует согласия его законного представителя — родителя или опекуна. Ст. 9 ФЗ-152 прямо указывает: если субъекту нет 18 лет, согласие даёт законный представитель. С 01.09.2025 (ФЗ-156 от 24.06.2025) это согласие обязано быть оформлено отдельным документом — не частью договора, не пунктом оферты, не разделом пользовательского соглашения.

Обязательные реквизиты согласия по ст. 9 ФЗ-152:

ФИО законного представителя и реквизиты документа, подтверждающего полномочия;
ФИО ребёнка — субъекта персональных данных;
наименование и адрес оператора (репетитора как ИП или юридического лица);
цель обработки: «организация образовательного процесса», «направление результатов тестирования»;
перечень конкретных персональных данных: ФИО ребёнка, дата рождения, результаты тестов, фото для идентификации при прокторинге;
перечень действий: сбор, запись, хранение, передача педагогам платформы;
срок действия согласия;
способ отзыва.

«Ст. 9 ФЗ-152: согласие субъекта персональных данных должно быть конкретным, информированным и сознательным. При обработке данных несовершеннолетнего согласие даёт законный представитель. С 01.09.2025 согласие оформляется отдельным документом, не объединяется с договором или офертой.»

Практическая ошибка — включить фразу «давая согласие на обработку ПДн» в текст договора с родителем. После 01.09.2025 такое согласие юридически ничтожно. РКН при проверке зафиксирует нарушение ч. 2 ст. 13.11 КоАП.

Согласия в договоре с родителями — что переделывать?

Если в образовательной организации согласия на обработку ПДн ребёнка вписаны в договор оказания услуг или оферту — с 01.09.2025 это нарушение ФЗ-156. Каждый такой документ создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Юристы DATUM проведут аудит форм согласий и соберут пакет ОРД с отдельными согласиями, отвечающими новым требованиям.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие особенности обработки ПДн несовершеннолетних в онлайн-репетиторстве?

Онлайн-репетиторство создаёт несколько специфических ситуаций, которые не характерны для очного формата.

Прокторинг. Идентификация ученика по видеоизображению при онлайн-экзамене или ЕГЭ-тренировке — это обработка биометрических персональных данных по ст. 11 ФЗ-152. Изображение лица в сочетании с голосом при автоматической идентификации личности квалифицируется как биометрия. Для обработки биометрии несовершеннолетнего нужно отдельное письменное согласие законного представителя с прямым указанием на биометрические данные. Без такого согласия прокторинг — нарушение ч. 16 ст. 13.11 КоАП.

Платформы с иностранной юрисдикцией. Google Classroom, Zoom, Microsoft Teams обрабатывают данные на серверах за рубежом. По ст. 18 ч. 5 ФЗ-152 первичный сбор, систематизация и хранение персональных данных граждан РФ — только в базах на территории России. Использование зарубежного сервиса без российского зеркала базы данных — нарушение локализации, ч. 8 ст. 13.11 КоАП, штраф от 1 до 6 млн ₽.

Дневник.ру и сторонние платформы. При передаче данных учеников в Дневник.ру или аналогичные платформы оператор — образовательная организация — передаёт обработку по поручению (п. 3 ст. 6 ФЗ-152). Необходим договор поручения обработки с перечнем действий, которые вправе совершать платформа. Без такого договора платформа — самостоятельный оператор, а не обработчик, и ответственность за её действия возникает у образовательной организации по общим основаниям ст. 6 ФЗ-152.

ЕГЭ-подготовка с передачей результатов. Передача результатов тестирования третьим лицам (родителям — через отдельный кабинет, методистам другой организации) — самостоятельное действие с персональными данными. Каждая цель обработки требует отдельного основания по ст. 6 ФЗ-152: либо согласие, либо договор с родителем, охватывающий такую передачу.

Что подготовить юристу образовательной организации

Отдельные согласия законных представителей на обработку ПДн несовершеннолетних по форме ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — не включённые в договор;
отдельные письменные согласия на обработку биометрии (если используется прокторинг с распознаванием лица), со ссылкой на ст. 11 ФЗ-152;
договоры поручения обработки с каждой платформой-подрядчиком (Дневник.ру, LMS, сервис прокторинга) по п. 3 ст. 6 ФЗ-152;
уведомление в реестр операторов РКН по ст. 22 ФЗ-152 с указанием всех реальных целей и категорий ПДн;
политику обработки персональных данных, опубликованную на сайте, по ч. 2 ст. 18.1 ФЗ-152.

Кто является оператором в онлайн-школе и кто несёт ответственность?

Вопрос о роли оператора в образовательных EdTech-проектах — один из ключевых для юриста. Ст. 3 ФЗ-152 определяет оператора как лицо, самостоятельно или совместно с другими лицами организующее обработку персональных данных. Применительно к онлайн-школе:

Онлайн-школа как юридическое лицо или ИП — оператор по умолчанию. Определяет цели обработки, решает, какие данные собирать, несёт ответственность перед РКН.
Репетитор-физлицо, работающий через платформу по гражданско-правовому договору, — обработчик по поручению. Но если репетитор самостоятельно собирает данные учеников и хранит их на личном устройстве без поручения от платформы — он становится самостоятельным оператором со всеми вытекающими обязанностями по ст. 22 ФЗ-152 (уведомление РКН) и ст. 18.1 ФЗ-152 (политика обработки).
Платформа-LMS, предоставляющая техническую инфраструктуру — обработчик. Нужен договор поручения с явным перечнем действий. Если договора нет, платформа де-факто обрабатывает данные без правового основания.

Принципиально важно: ответственность за действия обработчика по умолчанию несёт оператор. Если платформа допустила утечку, протокол по ст. 13.11 КоАП составляется в отношении оператора — онлайн-школы.

Типичные ситуации: как работает ответственность на практике

Ситуация 1. Согласие в договоре с родителем. Онлайн-школа включила пункт о согласии на обработку ПДн ребёнка в договор оказания образовательных услуг. До 01.09.2025 это было распространённой практикой. С 01.09.2025 такой документ не отвечает требованиям ФЗ-156: согласие должно быть отдельным. При плановой проверке РКН фиксирует нарушение по ч. 2 ст. 13.11 КоАП. Штраф для юридического лица — 300 000 — 700 000 ₽. Стратегия: до начала нового учебного года заменить форму, получить от родителей отдельные согласия. Согласия, полученные до 01.09.2025, переоформлять не требуется — ФЗ-156 обратной силы не имеет.

Ситуация 2. Прокторинг без биометрического согласия. Репетиторский центр внедрил прокторинг с автоматической идентификацией ученика по видеоизображению. Согласие родителей получено, но как часть общего согласия на обработку данных — без выделения биометрии в отдельный документ. Это нарушение ст. 11 ФЗ-152 в части письменного согласия на биометрию. Ответственность — ч. 16 ст. 13.11 КоАП. Стратегия: ввести отдельную форму биометрического согласия с прямым перечислением данных (изображение лица, голос) и порядком хранения.

Ситуация 3. Google Classroom как основная платформа. Небольшая онлайн-школа использует Google Classroom для ведения занятий. Данные учеников (имена, результаты заданий, видеозаписи уроков) хранятся на серверах Google. Первичный сбор и хранение персональных данных граждан РФ происходит за рубежом. Нарушение ч. 5 ст. 18 ФЗ-152 — требование локализации. Ответственность по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽. Стратегия: либо перевод базы в российскую инфраструктуру, либо переход на российские аналоги с локальным хранением, либо получение юридической оценки конкретной архитектуры сервиса.

Если вы юрист онлайн-школы и платформа использует зарубежный LMS или прокторинг — необходима оценка на предмет локализации и биометрии. До проверки РКН у вас есть время подготовить договоры поручения и отдельные биометрические согласия.

Заказать аудит 152-ФЗ

Что грозит образовательной организации за нарушения при обработке ПДн?

Ответственность в образовательной сфере охватывает несколько составов ст. 13.11 КоАП в редакции с 30.05.2025 (ФЗ-420 от 30.11.2024).

Ч. 2 ст. 13.11 — обработка без письменного согласия или с нарушением требований к его составу: 300 000 — 700 000 ₽ для юридического лица.
Ч. 2.1 ст. 13.11 — повторное нарушение по ч. 2: 1 000 000 — 1 500 000 ₽.
Ч. 3 ст. 13.11 — отсутствие политики обработки ПДн на сайте: 30 000 — 60 000 ₽.
Ч. 8 ст. 13.11 — нарушение требования локализации (ч. 5 ст. 18 ФЗ-152): 1 000 000 — 6 000 000 ₽.
Ч. 16 ст. 13.11 — нарушение требований к обработке биометрии по ст. 11 ФЗ-152.
Ч. 12–14 ст. 13.11 — утечка данных в зависимости от числа субъектов: от 3 000 000 до 15 000 000 ₽.

«Ч. 15 ст. 13.11 КоАП: при повторной утечке оборотный штраф составляет 1–3% совокупной годовой выручки, но не менее 20 млн ₽ и не более 500 млн ₽.»

Для понимания масштаба: средняя онлайн-школа с выручкой 200 млн ₽ в год при повторной утечке рискует штрафом в 20 млн ₽ как минимальным порогом. Это сопоставимо с годовым фондом оплаты труда педагогического состава. Аудит соответствия 152-ФЗ стоит от 100 000 ₽ — разница в цене очевидна.

Помимо административной, с 11.12.2024 действует уголовная ответственность по ст. 272.1 УК РФ за незаконное использование, передачу, сбор или хранение компьютерной информации, содержащей персональные данные. Максимальная санкция по ч. 5 — лишение свободы до 10 лет при тяжких последствиях. Для образовательной организации наиболее значимы ч. 1 и ч. 2: незаконный доступ и систематизация без оснований.

Как это применяется на практике

Кейс 1. Онлайн-платформа ЕГЭ-подготовки (Центральный ФО, осень 2025) использовала прокторинг с распознаванием лица при онлайн-тестировании. Согласия родителей были получены в составе единого пользовательского соглашения, без выделения биометрии. По итогам внеплановой проверки РКН составил протокол по ч. 2 и ч. 16 ст. 13.11 КоАП. Юристы, подключившиеся на этапе протокола, добились разграничения составов и применения ст. 4.1.1 КоАП по ч. 2 — замены штрафа на предупреждение как первичного нарушения для субъекта МСП. По ч. 16 назначен штраф в допустимом минимальном диапазоне. ⚠️ Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Репетиторский центр (Приволжский ФО, начало 2026) при плановой проверке РКН не смог предъявить договоры поручения обработки с LMS-платформой и Дневник.ру. Персональные данные 4 500 учеников обрабатывались через платформу без правового основания. Возбуждено дело по ч. 1 ст. 13.11 КоАП (обработка в случаях, не предусмотренных законом). Штраф в диапазоне сотен тысяч рублей. Параллельно РКН обязал в течение 30 дней устранить нарушение и зарегистрировать новые цели обработки в реестре операторов. ⚠️ Конкретный номер дела — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка форм согласий, политики, ОРД образовательной организации
Комплект ОРД под ключ — отдельные согласия по ФЗ-156, биометрические согласия, договоры поручения
DPO-аутсорсинг — ответственный по ст. 22.1 ФЗ-152, ответы на запросы субъектов и РКН

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя требуется при любой обработке персональных данных несовершеннолетнего до 18 лет по ст. 9 ФЗ-152. Это касается записи в кружок, видеоурока, хранения результатов тестов, передачи данных в LMS-платформу. Исключения — когда обработка прямо разрешена другим законом (например, государственная информационная система образования) или обработка необходима для исполнения договора, стороной которого является законный представитель. На практике в репетиторстве исключения применяются редко: большинство операций требуют отдельного согласия.

2. Можно ли использовать Google Classroom?

Использование Google Classroom сопряжено с риском нарушения требования локализации по ч. 5 ст. 18 ФЗ-152: первичный сбор и хранение персональных данных граждан РФ должны происходить в базах на территории России. Google Classroom хранит данные на серверах Google LLC (США). Если через платформу обрабатываются ПДн российских учеников без параллельной российской базы — это потенциальное нарушение ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽). Допустимость зависит от конкретной архитектуры использования и наличия российского хранилища первичных данных.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с идентификацией ученика по видеоизображению — это обработка биометрических персональных данных по ст. 11 ФЗ-152. Изображение лица в сочетании с автоматизированной системой идентификации личности квалифицируется как биометрия. Обработка биометрии несовершеннолетнего требует отдельного письменного согласия законного представителя с явным перечислением биометрических данных. Нарушение — состав ч. 16 ст. 13.11 КоАП. Прокторинг без автоматической идентификации (например, только запись видео без последующей обработки системой распознавания) имеет иной правовой статус и требует отдельной оценки.

4. Кто оператор в онлайн-школе?

По ст. 3 ФЗ-152 оператором является лицо, организующее и осуществляющее обработку персональных данных. В онлайн-школе оператор — юридическое лицо или ИП, от имени которого предоставляются образовательные услуги. Платформа-LMS, сервис прокторинга, Дневник.ру — обработчики по поручению при наличии договора поручения по п. 3 ст. 6 ФЗ-152. Репетитор-подрядчик, самостоятельно формирующий базу учеников, может быть признан самостоятельным оператором с обязанностью уведомить РКН по ст. 22 ФЗ-152.

5. Что грозит школе за утечку данных учеников?

Ответственность зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 учеников — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽; от 10 000 до 100 000 — ч. 13, штраф 5–10 млн ₽; более 100 000 — ч. 14, штраф 10–15 млн ₽. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽. Дополнительно — уведомление РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152) под угрозой штрафа 1–3 млн ₽ по ч. 11 ст. 13.11 за просрочку.

Итог

Согласие в репетиторстве в 2025–2026 годах — это не формальность, а обязательный отдельный документ с конкретными реквизитами. С 01.09.2025 (ФЗ-156) вписать согласие в договор с родителем нельзя. Прокторинг требует биометрического согласия, зарубежные платформы — оценки на предмет локализации, а каждый подрядчик-платформа — договора поручения обработки.

DATUM сопровождает образовательные организации — от частных репетиторов как ИП до крупных EdTech-платформ: аудит форм согласий, сборка пакета ОРД, договоры поручения, подготовка к проверкам РКН.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech.

7 апреля 2029 года