Перейти к содержанию
аналитика 22 января 2029 По состоянию на 22 января 2029

Согласие в ВУЗе: специфика

Образовательная организация обрабатывает ПДн трёх разных категорий субъектов одновременно: студентов, их родителей и сотрудников. Для каждой категории — самостоятельное основание и отдельный документ согласия.
С 01.09.2025 согласие не может входить в состав договора об оказании образовательных услуг или правила внутреннего распорядка. Нарушение — штраф по ч. 2 ст. 13.11 КоАП до 700 тыс. ₽ за каждый эпизод.
Если вы юрист ВУЗа и проверяете пакет согласий — проверьте, не вшиты ли они в договор или устав. После 01.09.2025 это основание для протокола РКН. →

Высшее учебное заведение — один из немногих операторов, где одновременно действуют нормы ФЗ-152 «О персональных данных», ФЗ-273 «Об образовании в Российской Федерации», требования к обработке ПДн несовершеннолетних по ст. 9 ч. 6 ФЗ-152 и специфика обработки биометрических данных при прокторинге. Поправки ФЗ-156 от 24.06.2025 кардинально изменили требования к форме согласия с 01.09.2025: документ стал отдельным, с обязательным перечнем реквизитов. В этом материале рассмотрены ключевые точки риска для юриста ВУЗа: основания обработки, структура согласий, прокторинг, зарубежные сервисы и практика проверок РКН.

Какие основания обработки ПДн действуют в ВУЗе без согласия?

Прежде чем разбирать согласие, важно понять, где оно не требуется. ФЗ-273 «Об образовании» обязывает ВУЗ формировать личное дело студента, вести журналы посещаемости, подавать сведения в ЕГИСЗ и реестр Рособрнадзора. Для этих операций основание — исполнение обязательства, возложенного законом (п. 2 ч. 1 ст. 6 ФЗ-152). Согласие здесь избыточно и может создать правовую коллизию: субъект, отозвавший согласие, формально блокирует законную обработку.

Договор об оказании платных образовательных услуг даёт основание обрабатывать ПДн, необходимые для его исполнения (п. 5 ч. 1 ст. 6 ФЗ-152): ФИО, контакты, реквизиты для выставления счёта, зачётная книжка. Выход за этот периметр — маркетинговые рассылки, фото для публикации, передача данных партнёрам — требует отдельного согласия.

«Ст. 6 ФЗ-152: обработка ПДн без согласия субъекта допустима, если она необходима для исполнения договора, стороной которого является субъект, либо для выполнения возложенных на оператора законом обязанностей. Использование этих оснований не освобождает от необходимости уведомить РКН и сформировать ОРД.»

Ошибка, типичная для ВУЗов: включение в договор или правила внутреннего распорядка формулировки «подписывая настоящий документ, вы даёте согласие на обработку ПДн». С 01.09.2025 такое согласие юридически ничтожно согласно ФЗ-156: документ согласия должен быть отдельным, не объединяться ни с каким другим соглашением.

Проверяете пакет документов ВУЗа на соответствие ФЗ-152?

Если вы юрист образовательной организации и не уверены, какие операции требуют согласия, а какие — нет, ошибка в квалификации основания создаёт риск по ч. 1 или ч. 2 ст. 13.11 КоАП. Штраф по ч. 2 — до 700 тыс. ₽ за обработку без надлежащего письменного согласия. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Когда согласие родителей обязательно и что в нём должно быть?

Статья 9 ч. 6 ФЗ-152 устанавливает: если субъекту персональных данных нет 18 лет, согласие дают родители или законные представители. Для ВУЗа это означает следующее: студент, поступивший в 17 лет, не вправе самостоятельно подписать согласие на обработку ПДн в целях, выходящих за рамки договора. Согласие родителей требуется до достижения студентом совершеннолетия.

На практике ВУЗы нередко упускают этот момент: абитуриент в 17 лет подписывает все документы сам, а до 18-летия остаётся несколько месяцев. Роскомнадзор при плановой проверке проверяет возраст субъекта на дату подписания согласия. Несоответствие — основание для протокола по ч. 2 ст. 13.11 КоАП.

Реквизиты согласия после 01.09.2025 (ст. 9 ФЗ-152 в ред. ФЗ-156): наименование и адрес оператора; ФИО и контакты субъекта (или его представителя с указанием документа, подтверждающего полномочия); цель обработки; перечень обрабатываемых ПДн; перечень действий с ПДн; срок действия согласия или условие его прекращения; способ отзыва. Согласие не может содержать бланкетных формулировок вроде «все необходимые данные для учебного процесса».

«Ст. 9 ч. 6 ФЗ-152: согласие на обработку ПДн лица, не достигшего 18 лет, даётся его законным представителем. ФЗ-156 от 24.06.2025 установил требование об оформлении согласия отдельным документом — вступило в силу с 01.09.2025.»

Что подготовить юристу ВУЗа

  • Отдельные формы согласий для каждой цели: зачисление, маркетинг, публикация фото, прокторинг, передача третьим лицам — каждая на отдельном документе.
  • Реестр субъектов-несовершеннолетних с датами рождения: для автоматической проверки, нужно ли согласие родителей на дату подписания.
  • Выписка из реестра операторов ПДн на pd.rkn.gov.ru с актуальными целями и категориями — уведомление по ст. 22 ФЗ-152 должно отражать реальную обработку.
  • Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152 с указанием конкретного должностного лица, а не подразделения.
  • Журнал учёта запросов субъектов ПДн за последние 12 месяцев с подтверждением ответов в срок не позднее 10 рабочих дней (ст. 20 ФЗ-152).

Что такое прокторинг с точки зрения 152-ФЗ и какие риски он создаёт?

Прокторинг — дистанционный контроль за ходом экзамена через веб-камеру и запись экрана. С точки зрения ФЗ-152 это обработка биометрических персональных данных: изображение лица субъекта используется для верификации его личности. Статья 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн, если обработка не подпадает под исключения п. 2 ст. 11.

Образовательная организация в данном случае не может сослаться на исполнение договора как основание: прокторинг не является обязательным условием ни одного нормативного акта об образовании. Это означает, что согласие на прокторинг — обязательное, отдельное, содержащее: цель (верификация личности при дистанционном экзамене), перечень биометрических данных (изображение лица, аудиозапись), действия (захват, хранение, передача провайдеру прокторинга), срок хранения, наименование третьего лица — провайдера.

Особый риск создаёт передача видеозаписи экзамена провайдеру прокторинга. Провайдер становится лицом, осуществляющим обработку по поручению оператора (п. 3 ст. 6 ФЗ-152). ВУЗ обязан заключить договор поручения с явным указанием цели, перечня действий и требования уничтожить данные после завершения хранения. Если провайдер — иностранная компания или хранит данные за рубежом, возникает обязанность уведомить РКН о трансграничной передаче по ст. 12 ФЗ-152.

Если ВУЗ использует прокторинг без отдельного биометрического согласия — это нарушение ч. 1 ст. 11 ФЗ-152 и основание для штрафа по ч. 2 ст. 13.11 КоАП. При повторности — ч. 2.1, штраф от 1 до 1,5 млн ₽. Юристы DATUM соберут комплект согласий и договор поручения с провайдером прокторинга.

Собрать ОРД под ключ

Можно ли использовать Google Classroom, Moodle и зарубежные сервисы?

Вопрос о зарубежных образовательных платформах стал одним из центральных для EdTech после ужесточения требований к локализации. Статья 18 ч. 5 ФЗ-152 обязывает при сборе, систематизации, накоплении, хранении, уточнении и извлечении ПДн граждан РФ использовать базы данных, находящиеся на территории России. Это требование действует с 01.09.2015 и распространяется на образовательные организации в полном объёме.

Практическое последствие: если ВУЗ регистрирует студентов в Google Classroom, Microsoft Teams или аналогичном зарубежном сервисе с первичным сохранением данных на серверах за рубежом, это нарушение ч. 5 ст. 18 ФЗ-152. Штраф по ч. 8 ст. 13.11 КоАП — от 1 до 6 млн ₽; при повторности по ч. 9 — от 6 до 18 млн ₽.

Допустимая конфигурация: использование зарубежного инструмента для коммуникации (видеоконференции, чаты) при условии, что первичная запись и хранение ПДн происходят в российской системе. Например, данные студента хранятся в российской LMS, а Google Meet используется только для проведения занятий без сохранения записей на серверах Google. Такой подход требует технической проверки и документального закрепления в регламенте обработки ПДн.

«Ч. 5 ст. 18 ФЗ-152: при сборе ПДн граждан РФ оператор обязан обеспечить запись, систематизацию, накопление, хранение, уточнение и извлечение ПДн с использованием баз данных, расположенных на территории РФ. Нарушение — ч. 8 ст. 13.11 КоАП, штраф для юрлица 1–6 млн ₽.»

Типовые ситуации: как нарушения проявляются на практике

Ситуация 1. Согласие в договоре об оказании образовательных услуг. ВУЗ включил в типовой договор блок «Настоящим студент даёт согласие на обработку ПДн в целях учебного процесса». После 01.09.2025 такое согласие не соответствует ст. 9 ФЗ-152 в редакции ФЗ-156: оно не является отдельным документом. При плановой проверке РКН инспектор квалифицирует обработку как осуществляемую без надлежащего согласия. Протокол — по ч. 2 ст. 13.11 КоАП (штраф 300–700 тыс. ₽). Стратегия: немедленная разработка отдельных форм согласий и переоформление с действующими студентами. Ранее полученные согласия (до 01.09.2025) переоформлять не требуется — обратной силы ФЗ-156 не имеет.

Ситуация 2. Прокторинг через иностранный сервис без уведомления РКН о трансграничной передаче. ВУЗ заключил договор с провайдером прокторинга, чьи серверы находятся в стране, не включённой в перечень стран с адекватной защитой ПДн. Уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152 не подавалось. Риск: штраф по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽) плюс предписание о прекращении передачи. Дополнительный риск: отсутствие биометрического согласия — протокол по ч. 2 ст. 13.11 КоАП отдельно. Стратегия: смена провайдера на российский либо уведомление РКН о трансграничной передаче с оценкой достаточности защиты.

Ситуация 3. Дневник.ру и сторонние образовательные платформы как операторы. ВУЗ передаёт данные студентов и сотрудников в Дневник.ру или аналогичную платформу. Вопрос: кто оператор, кто обработчик? Если ВУЗ определяет цели обработки — он оператор. Платформа обрабатывает данные по его поручению. Договор поручения с перечнем действий и запретом на использование данных в собственных целях — обязателен по п. 3 ст. 6 ФЗ-152. Его отсутствие: нарушение ч. 1 ст. 13.11 КоАП (150–300 тыс. ₽). Стратегия: аудит всех договоров с EdTech-платформами на предмет наличия условий поручения.

Как это применяется на практике

Кейс 1. Образовательная организация Сибирского федерального округа (осень 2025) прошла внеплановую проверку РКН по жалобе студента. Проверяющие установили: согласие на передачу данных в платформу онлайн-обучения было включено в текст договора об оказании образовательных услуг. Дополнительно — провайдер онлайн-занятий хранил видеозаписи на зарубежных серверах без уведомления РКН о трансграничной передаче. По итогам проверки выдано предписание об устранении нарушений и составлены протоколы по ч. 1 и ч. 2 ст. 13.11 КоАП. Юристы организации оспорили один из протоколов в суде, применив ст. 4.1.1 КоАП (замена штрафа предупреждением для первичного нарушения). Второй протокол завершился штрафом в диапазоне нескольких сотен тысяч рублей. ⚠️ Конкретный номер дела и точная сумма — менеджер уточняет при публикации.

Кейс 2. Частный ВУЗ Центрального федерального округа (начало 2026) обратился за аудитом после получения уведомления о плановой проверке РКН. При анализе документов выявлено: согласие на прокторинг отсутствовало как отдельный документ; договор с провайдером прокторинга не содержал условий поручения; уведомление в реестре операторов не отражало биометрическую обработку. За три недели до проверки сформирован пакет согласий, внесены изменения в уведомление РКН, заключён договор поручения с провайдером. Проверка завершилась без протоколов — инспектор зафиксировал устранение нарушений до начала проверки.

Услуги DATUM по теме

  • Аудит соответствия 152-ФЗ — проверка оснований обработки, форм согласий, договоров поручения в образовательной организации
  • Комплект ОРД под ключ — разработка форм согласий, политики, регламентов для ВУЗа с учётом специфики несовершеннолетних и прокторинга
  • DPO-аутсорсинг — функция ответственного по ст. 22.1 ФЗ-152 на абонентском обслуживании, включая ответы на запросы студентов

Частые вопросы

1. Когда нужно согласие родителей?

Согласие родителей или законных представителей требуется при обработке ПДн студента, не достигшего 18 лет, в целях, выходящих за пределы исполнения договора или законной обязанности оператора. Основание — ч. 6 ст. 9 ФЗ-152. Критически важен возраст на дату подписания документа: если студент поступил в 17 лет и подписал согласие сам — документ не имеет юридической силы. Отдельные согласия от родителей обязательны, в частности, для публикации фото, передачи данных третьим лицам и прокторинга до достижения 18 лет.

2. Можно ли использовать Google Classroom?

Использование Google Classroom допустимо при условии, что первичное хранение ПДн студентов осуществляется в российской системе, а зарубежный сервис используется исключительно для коммуникации без сохранения персонифицированных данных на зарубежных серверах. Нарушение требования локализации по ч. 5 ст. 18 ФЗ-152 влечёт штраф по ч. 8 ст. 13.11 КоАП от 1 до 6 млн ₽. Перед внедрением любого зарубежного EdTech-инструмента требуется технический анализ архитектуры хранения данных и документальное закрепление в регламенте обработки.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — обработка биометрических персональных данных: изображение лица студента используется для верификации его личности при дистанционном экзамене. Статья 11 ФЗ-152 требует письменного согласия на обработку биометрических ПДн. Согласие должно быть отдельным документом (ФЗ-156, с 01.09.2025), содержать цель, перечень данных, наименование провайдера прокторинга и срок хранения записей. При передаче видеозаписей зарубежному провайдеру дополнительно требуется уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

4. Кто оператор в онлайн-школе или EdTech-платформе ВУЗа?

Оператором является тот, кто определяет цели и состав обрабатываемых персональных данных. Если ВУЗ передаёт данные студентов в EdTech-платформу для проведения обучения — ВУЗ остаётся оператором, а платформа выступает обработчиком по поручению в смысле п. 3 ст. 6 ФЗ-152. Договор поручения обязателен: он должен содержать перечень поручаемых действий, запрет использования данных в собственных целях платформы и обязанность обеспечить конфиденциальность. Отсутствие договора поручения — нарушение ч. 1 ст. 13.11 КоАП.

5. Что грозит ВУЗу за утечку персональных данных студентов?

Размер штрафа зависит от числа пострадавших субъектов. При утечке данных от 1 000 до 10 000 студентов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. От 10 000 до 100 000 субъектов — ч. 13, штраф 5–10 млн ₽. Более 100 000 субъектов — ч. 14, штраф 10–15 млн ₽. Дополнительно: неуведомление РКН об утечке в течение 24 часов по ч. 3.1 ст. 21 ФЗ-152 — отдельный штраф по ч. 11 ст. 13.11 КоАП от 1 до 3 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15 — 1–3% годовой выручки, не менее 20 млн ₽.

Итог

Специфика согласий в ВУЗе определяется тремя факторами: нормами об образовании, требованиями к обработке ПДн несовершеннолетних и технологическим профилем — прокторингом, EdTech-платформами, зарубежными сервисами. После 01.09.2025 любое согласие, встроенное в договор или устав, утратило юридическую силу. Юрист ВУЗа обязан проверить каждое основание обработки, структуру форм согласий и договоры поручения с провайдерами.

DATUM сопровождает образовательные организации при прохождении проверок РКН и формировании полного пакета ОРД с учётом отраслевой специфики: несовершеннолетние субъекты, биометрия при прокторинге, договоры поручения с EdTech-платформами.

Смотрите также

ОН
Ольга Нечаева
Аналитик · Медицина и образование
Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech-платформы.

22 января 2029 года