аналитика 21 октября 2029 года По состоянию на 21 октября 2029 года

Тестирование Stepik / Coursera (РФ-копии)

Онлайн-платформы для тестирования — Stepik, отечественные копии Coursera и аналогичные EdTech-сервисы — обрабатывают персональные данные студентов и слушателей, включая данные несовершеннолетних, что порождает обязанности оператора по ФЗ-152.

С 01.09.2025 согласие на обработку ПДн оформляется отдельным документом (ФЗ-156); при вовлечении несовершеннолетних до 18 лет — требуется согласие родителей или законных представителей. Нарушение влечёт штраф по ч. 2 ст. 13.11 КоАП до 700 000 ₽ за каждый случай.

Если вы юрист образовательной организации или онлайн-школы — проверьте: кто по договору с платформой является оператором, оформлены ли согласия по новым требованиям, и что происходит с ПДн при прокторинге. → Разбираем нормы и риски.

Платформы тестирования в образовании стали стандартом — от государственных систем типа «Дневник.ру» до частных онлайн-школ на Stepik. Юрист образовательной организации в 2025–2026 году сталкивается с вопросами, которые год назад не существовали: как квалифицировать прокторинг по ФЗ-152, кто отвечает за ПДн, если платформа — сторонний сервис, и как правильно оформить согласие родителей школьника для ЕГЭ-подготовки онлайн. В этом материале — практический анализ норм и типовых ситуаций.

Кто является оператором при использовании образовательной платформы?

Ключевой вопрос при подключении любой внешней платформы — распределение ролей. Ст. 3 ФЗ-152 разграничивает оператора (определяет цели и состав обработки) и лицо, осуществляющее обработку по поручению (действует по заданию оператора в рамках договора поручения по п. 3 ст. 6 ФЗ-152).

На практике возможны три модели:

Образовательная организация — оператор, платформа — обработчик по поручению. Типично, когда организация заключает договор с Stepik или аналогом, определяет перечень данных, цели, сроки. Организация несёт полную ответственность перед субъектами и РКН.
Платформа — самостоятельный оператор. Студент регистрируется напрямую на сайте сервиса, принимает пользовательское соглашение платформы. Образовательная организация при этом может оставаться соисполнителем, но не оператором данных пользовательского профиля.
Совместная обработка. Оба субъекта определяют цели — редкий случай, требующий формализации в соглашении о совместной обработке.

Ошибка в определении модели влечёт практические последствия: если договора поручения нет, а платформа фактически обрабатывает ПДн студентов — оператор нарушает ст. 6 и ст. 18.1 ФЗ-152. Штраф по ч. 1 ст. 13.11 КоАП (в редакции с 30.05.2025) — 150 000–300 000 ₽.

«Ст. 6 п. 3 ФЗ-152: обработка ПДн по поручению оператора допустима при наличии письменного договора, устанавливающего перечень действий, цели, обязанность обеспечить конфиденциальность и безопасность данных. Ответственность перед субъектом несёт оператор.»

Когда нужно согласие родителей при тестировании несовершеннолетних?

Обработка ПДн несовершеннолетних — зона повышенного риска. ФЗ-152 не устанавливает возрастной порог для самостоятельного согласия, но общая норма гражданского законодательства: дееспособность в полном объёме — с 18 лет. Это означает, что для лиц до 18 лет согласие даёт законный представитель (родитель или опекун).

Согласие на обработку ПДн несовершеннолетнего необходимо получать от родителя или законного представителя в следующих типичных ситуациях:

Регистрация ученика на платформе онлайн-тестирования (Stepik, «Дневник.ру», ЕГЭ-тренажёры).
Использование прокторинговых сервисов с записью видео и аудио.
Передача результатов тестирования третьим лицам — работодателям, олимпиадным организаторам.
Хранение результатов ЕГЭ-подготовки в облаке на зарубежных серверах (трансграничная передача по ст. 12 ФЗ-152).

С 01.09.2025 по ФЗ-156 от 24.06.2025 согласие оформляется отдельным документом — не включается в договор об образовательных услугах, пользовательское соглашение или публичную оферту. Это критически меняет практику онлайн-школ: прежние комбинированные документы («принимая условия договора, вы даёте согласие на обработку ПДн») не соответствуют новым требованиям ст. 9 ФЗ-152.

«Ст. 9 ФЗ-152 (в редакции ФЗ-156, действует с 01.09.2025): согласие субъекта ПДн должно быть оформлено отдельным документом. Обязательные реквизиты: наименование оператора, ФИО субъекта, цель, перечень ПДн, перечень действий, срок, способ отзыва. Согласие, совмещённое с другими документами, недействительно.»

Согласия от родителей оформлены до 01.09.2025?

Если образовательная организация собирала согласия через форму записи или договор до вступления ФЗ-156 в силу — эти документы не соответствуют новым требованиям ст. 9 ФЗ-152. Каждый такой случай создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП до 700 000 ₽. Срок для переоформления — уже истёк: 01.09.2025 наступил. Юристы DATUM проведут аудит согласий, выявят несоответствия и подготовят новые формы под требования ФЗ-156.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — дистанционный контроль прохождения тестирования с использованием веб-камеры, микрофона и записи экрана — порождает несколько пересекающихся правовых режимов по ФЗ-152.

Биометрические ПДн. Запись изображения лица в реальном времени и его идентификация попадает под действие ст. 11 ФЗ-152. Обработка биометрических ПДн требует отдельного письменного согласия субъекта (или его законного представителя — при тестировании несовершеннолетних). Нарушение — ч. 16 ст. 13.11 КоАП.

Специальные категории ПДн. Если прокторинговая система фиксирует поведенческие паттерны или состояние здоровья (например, алгоритм определяет нарушение концентрации) — возникает риск квалификации данных как специальных по ст. 10 ФЗ-152. Обработка таких данных возможна только в рамках закрытого перечня оснований.

Передача данных прокторинговому сервису. Большинство прокторинговых платформ — самостоятельные юрлица. Передача им видеопотока и данных студентов должна быть оформлена договором поручения (п. 3 ст. 6 ФЗ-152). Если сервер расположен за рубежом — дополнительно уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

Google Classroom и зарубежные аналоги. Использование Google Classroom, Microsoft Teams Education и аналогов означает, что часть обработки ПДн студентов происходит на серверах за пределами РФ. Это нарушает требование локализации по ч. 5 ст. 18 ФЗ-152: первичный сбор, хранение и систематизация ПДн граждан РФ должны осуществляться в базах данных, расположенных в России. Штраф за нарушение локализации — ч. 8 ст. 13.11 КоАП, 1 000 000–6 000 000 ₽.

«Ст. 11 ФЗ-152: биометрические ПДн — сведения, характеризующие физиологические или биологические особенности человека, на основании которых устанавливается его личность. Обработка — только с письменного согласия субъекта, кроме случаев, предусмотренных ч. 2 ст. 11.»

Чем отличаются РФ-копии Coursera и какие риски они создают?

После ухода Coursera с российского рынка образовательные организации перешли на отечественные аналоги: Stepik, «Открытое образование», «Лекториум», корпоративные платформы. Юридически это меняет ситуацию: теперь платформа, как правило, является российским юрлицом, подпадающим под полный режим ФЗ-152. Это снимает часть проблем с локализацией, но порождает новые.

Двойная роль платформы. Stepik и аналоги одновременно предоставляют публичную платформу для частных пользователей и корпоративные/образовательные инструменты для организаций. В корпоративном режиме платформа, как правило, выступает обработчиком по поручению — организация остаётся оператором и несёт ответственность.

Условия договора с платформой. Стандартные пользовательские соглашения Stepik рассчитаны на прямое взаимодействие с пользователем. Если организация регистрирует студентов «от имени» платформы без отдельного договора поручения — возникает правовой вакуум: непонятно, кто отвечает за ПДн. РКН в таких случаях при проверке рассматривает организацию как фактического оператора.

Хранение результатов тестирования. Результаты ЕГЭ-подготовки, оценки, время прохождения тестов — это ПДн. Оператор обязан определить срок хранения, обеспечить уничтожение по достижении цели (ст. 5 ФЗ-152) и зафиксировать это в политике обработки. Автоматическая синхронизация с внешними сервисами аналитики (например, встроенная в платформу интеграция с Google Analytics) — потенциальная трансграничная передача.

Если организация использует Stepik, «Открытое образование» или прокторинговый сервис без договора поручения — каждый факт передачи ПДн студентов платформе нарушает ст. 6 ФЗ-152. Для проверки соответствия документов нормам — собрать ОРД под ключ за 2–3 недели.

Собрать ОРД под ключ

Матрица типовых ситуаций для юриста образовательной организации

Ситуация 1. Онлайн-школа использует Stepik без договора поручения.
Школа подключила Stepik в режиме «организация», студенты проходят тесты, результаты хранятся на серверах платформы. Договора поручения нет — есть только принятое публичное соглашение. При проверке РКН зафиксирует нарушение ст. 6 ФЗ-152 (обработка ПДн без законного основания через третье лицо) и отсутствие договора поручения. Вероятный исход — штраф по ч. 1 ст. 13.11 КоАП 150 000–300 000 ₽. Стратегия: оформить договор поручения, добавить в политику обработки раздел о передаче данных платформе, получить от Stepik подтверждение мер безопасности по ст. 19 ФЗ-152.

Ситуация 2. Школа подготовки к ЕГЭ собирает данные несовершеннолетних без согласия родителей.
Форма регистрации содержала галочку «согласен с условиями» — согласие встроено в договор. После 01.09.2025 это нарушение ст. 9 ФЗ-152 в редакции ФЗ-156. Дополнительно — отсутствие согласия законного представителя при обработке ПДн несовершеннолетних. Вероятный исход — ч. 2 ст. 13.11 КоАП, штраф до 700 000 ₽. Стратегия: разработать отдельную форму согласия с реквизитами ст. 9, собрать согласия от родителей для действующих учеников.

Ситуация 3. Прокторинг с записью видео без надлежащего согласия на биометрию.
Платформа записывает видео с веб-камеры для верификации личности — это биометрические ПДн по ст. 11 ФЗ-152. Согласие на биометрию не выделено отдельно, не подписано письменно. Вероятный исход — ч. 16 ст. 13.11 КоАП. Если запись хранится на зарубежном сервере — параллельное нарушение ч. 5 ст. 18 ФЗ-152 (локализация), штраф по ч. 8 ст. 13.11 КоАП 1 000 000–6 000 000 ₽. Стратегия: оформить отдельное согласие на обработку биометрии, убедиться, что хранение — в России, зафиксировать в договоре с прокторинговым сервисом уровень защищённости.

Что подготовить юристу образовательной организации

Договор поручения с каждой используемой платформой (Stepik, прокторинговый сервис, «Дневник.ру») с перечнем действий, целей и мер безопасности по ст. 6 ФЗ-152.
Отдельные формы согласий (ст. 9 ФЗ-152 в редакции ФЗ-156): для совершеннолетних студентов и от родителей несовершеннолетних — с обязательными реквизитами, без совмещения с договором.
Отдельное согласие на обработку биометрических ПДн при использовании прокторинга с идентификацией по лицу или голосу (ст. 11 ФЗ-152).
Политика обработки ПДн с разделами о составе данных, целях, сроках хранения, передаче третьим лицам (ст. 18.1 ФЗ-152) — опубликована на сайте организации.
Уведомление РКН о намерении обрабатывать ПДн (ст. 22 ФЗ-152) с актуальными сведениями о составе обработки, включая использование внешних платформ.

Как применяется на практике: кейсы из образовательного сектора

Кейс 1. Частная школа подготовки к ЕГЭ (Центральный ФО, весна 2025) использовала прокторинговый сервис с записью видео студентов без выделения биометрического согласия. При плановой проверке РКН инспектор зафиксировал отсутствие письменного согласия на биометрию и отсутствие договора поручения с прокторинговой компанией. Организация получила предписание об устранении нарушений. После подготовки документов при содействии юридических консультантов — административное дело завершено без штрафа за первичное нарушение по ст. 4.1.1 КоАП. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Кейс 2. Онлайн-школа (Сибирский ФО, осень 2025) применяла Google Classroom для дистанционного обучения и тестирования — данные студентов синхронизировались с серверами Google за пределами РФ. Нарушение требования локализации по ч. 5 ст. 18 ФЗ-152. При проверке по жалобе родителя — протокол по ч. 8 ст. 13.11 КоАП с нижней границей штрафа 1 000 000 ₽. Организация перевела процессы на отечественные аналоги и оспорила размер штрафа через смягчающие обстоятельства. Конкретный номер дела и точная дата — менеджер уточняет при публикации.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка согласий, договоров поручения и политики обработки ПДн в образовательной организации.
Комплект ОРД под ключ — разработка полного пакета документов: политика, согласия от родителей, договоры поручения с платформами.
DPO-аутсорсинг — абонентское сопровождение ответственного за обработку ПДн по ст. 22.1 ФЗ-152.

Частые вопросы

1. Когда нужно согласие родителей?

Согласие законного представителя (родителя или опекуна) требуется при обработке ПДн лиц до 18 лет — в том числе при регистрации на образовательной платформе, использовании прокторинга, передаче результатов тестирования. С 01.09.2025 по ФЗ-156 такое согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152: наименование оператора, цель, перечень ПДн, срок, способ отзыва. Согласие, встроенное в форму договора или оферту, не соответствует требованиям.

2. Можно ли использовать Google Classroom?

Использование Google Classroom влечёт передачу ПДн студентов на серверы Google за пределами РФ, что нарушает требование локализации по ч. 5 ст. 18 ФЗ-152 — первичный сбор, систематизация и хранение ПДн граждан РФ должны осуществляться в базах данных в России. Штраф по ч. 8 ст. 13.11 КоАП — от 1 000 000 до 6 000 000 ₽. Альтернатива — отечественные платформы (Stepik, «Лекториум», корпоративные решения на российских серверах) при наличии договора поручения.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг с идентификацией по изображению лица или голосу — обработка биометрических ПДн по ст. 11 ФЗ-152, требующая отдельного письменного согласия субъекта. Передача видеопотока прокторинговому сервису должна быть оформлена договором поручения по п. 3 ст. 6 ФЗ-152. Если сервер расположен за рубежом — дополнительно уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152. При обработке данных несовершеннолетних — согласие законного представителя.

4. Кто является оператором в онлайн-школе?

Оператором по ст. 3 ФЗ-152 является субъект, который определяет цели и состав обработки ПДн. Если онлайн-школа самостоятельно набирает студентов, определяет программу и использует платформу как инструмент — школа является оператором, платформа — обработчиком по поручению. Это требует письменного договора поручения. Ошибочное предположение, что платформа «сама берёт ответственность», не освобождает оператора от обязанностей по ст. 18.1, 19, 22 ФЗ-152.

5. Что грозит школе за утечку ПДн студентов?

Размер штрафа зависит от числа пострадавших субъектов: за утечку от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3 000 000–5 000 000 ₽; от 10 000 до 100 000 — ч. 13 ст. 13.11, 5 000 000–10 000 000 ₽; свыше 100 000 — ч. 14 ст. 13.11, 10 000 000–15 000 000 ₽. Дополнительно — штраф по ч. 11 ст. 13.11 за неуведомление РКН в течение 24 часов (1 000 000–3 000 000 ₽). При повторной утечке применяется оборотный штраф по ч. 15 ст. 13.11 — до 3% годовой выручки, но не менее 20 000 000 ₽.

Итог

Использование платформ тестирования — Stepik, отечественных копий Coursera, прокторинговых сервисов — создаёт для образовательной организации полный спектр обязанностей оператора ПДн: от получения согласий (включая родительские при работе с несовершеннолетними) до оформления договоров поручения и соблюдения требования локализации. С 01.09.2025 прежние форматы согласий, совмещённых с договором, не соответствуют ст. 9 ФЗ-152.

DATUM сопровождает образовательные организации в приведении обработки ПДн в соответствие с ФЗ-152: аудит согласий и договоров с платформами, разработка ОРД, поддержка при проверках РКН.

Нужна проверка документов по платформам тестирования?

Если организация использует Stepik, прокторинг или любой EdTech-сервис с обработкой ПДн студентов — юрист обязан проверить: наличие договора поручения, соответствие согласий требованиям ст. 9 ФЗ-152 с 01.09.2025, соблюдение локализации по ч. 5 ст. 18. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.