аналитика 11 февраля 2029 года По состоянию на 11 февраля 2029 года

Учи.ру и 152-ФЗ

Учи.ру обрабатывает персональные данные детей — это специальная категория с повышенными требованиями по ст. 9 и ст. 10 ФЗ-152.

С 01.09.2025 согласие родителей на обработку ПДн ребёнка оформляется отдельным документом (ФЗ-156 от 24.06.2025). Утечка данных несовершеннолетних — штраф по ч. 12–14 ст. 13.11 КоАП от 3 до 15 млн ₽, а при повторности — оборотный по ч. 15 до 500 млн ₽.

→ Если вы юрист образовательной организации, подключённой к Учи.ру, или сотрудник платформы — проверьте, насколько текущая документация соответствует нормам после 01.09.2025.

Образовательные платформы, работающие с детьми, находятся в зоне повышенного внимания Роскомнадзора. Учи.ру собирает данные учеников с первого класса, передаёт их в Дневник.ру, интегрируется с региональными МИС, использует прокторинг для проверочных работ — каждый из этих процессов создаёт отдельный комплаенс-риск. В 2025 году РКН зафиксировал 118 случаев компрометации баз данных, а суды начали применять новые составы ст. 13.11 КоАП в редакции ФЗ-420. Ниже — разбор ключевых обязательств оператора в связке «школа — Учи.ру — родитель — ребёнок».

Кто является оператором в онлайн-школе и на платформе Учи.ру?

Вопрос о том, кто несёт ответственность перед Роскомнадзором, возникает в каждом договоре между школой и EdTech-платформой. Ответ зависит от того, кто определяет цели и способы обработки данных.

Школа (образовательная организация) остаётся самостоятельным оператором: она принимает решение о подключении платформы, собирает согласия родителей, несёт ответственность перед субъектами ПДн. Учи.ру при этом действует как лицо, осуществляющее обработку по поручению оператора (ст. 6 п. 3 ФЗ-152). Это означает, что между школой и платформой должен быть заключён договор поручения обработки ПДн с перечнем допустимых действий, перечнем категорий данных и обязательством платформы не передавать данные третьим лицам без согласования.

На практике многие школы не оформляют такой договор отдельно, полагаясь на пользовательское соглашение платформы. Это нарушение: отсутствие договора поручения — самостоятельный состав нарушения, который РКН фиксирует при проверке.

«Ст. 6 п. 3 ФЗ-152 — обработка ПДн по поручению оператора допускается при наличии договора, закрепляющего перечень действий, цели обработки и обязательство конфиденциальности. Ответственность перед субъектом несёт оператор, а не обработчик.»

Если Учи.ру интегрирована с несколькими школами одного муниципалитета и сама определяет алгоритмы рекомендаций или таргетированную подачу материала — есть основания квалифицировать платформу как самостоятельного оператора по тем целям, которые она преследует независимо от школы. В таком случае у платформы возникают собственные обязательства по ст. 22 ФЗ-152: уведомление РКН о намерении обрабатывать ПДн.

Договор поручения с Учи.ру не оформлен или устарел?

Юрист образовательной организации несёт риск по ч. 1 ст. 13.11 КоАП — штраф до 300 000 ₽ за обработку без надлежащего правового основания. До проверки РКН можно устранить нарушение без санкций. Юристы DATUM проведут аудит обработки ПДн по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Какие согласия родителей требуются при работе с Учи.ру после 01.09.2025?

С 01.09.2025 вступили в силу изменения в ч. 1 ст. 9 ФЗ-152 (ФЗ-156 от 24.06.2025): согласие на обработку ПДн теперь должно быть оформлено отдельным документом. Включить его в текст договора об оказании образовательных услуг, устав или правила пользования платформой нельзя — каждое такое согласие недействительно.

Для ребёнка до 18 лет согласие даёт законный представитель — родитель или опекун. Согласие должно содержать обязательные реквизиты по ст. 9 ФЗ-152: ФИО субъекта (ребёнка) и представителя, контактные данные, наименование оператора (школы), цель обработки, перечень ПДн, перечень действий, срок действия и порядок отзыва.

«Ст. 9 ч. 6 ФЗ-152 — обработка ПДн несовершеннолетнего до 18 лет допускается на основании согласия его законного представителя. С 01.09.2025 (ФЗ-156) это согласие оформляется отдельным документом.»

Типичная ошибка: школа собирает одно «общее согласие на обработку ПДн» при поступлении ребёнка и считает, что оно охватывает подключение к Учи.ру, Дневник.ру, системе видеонаблюдения и СКУД. Это не так. Передача данных в Учи.ру — самостоятельное действие с отдельной целью. Родитель должен дать отдельное согласие именно на эту передачу с указанием, что данные передаются третьему лицу (платформе).

Если школа использует прокторинг при проведении контрольных работ через Учи.ру, то фиксируется изображение ребёнка — биометрические данные по ст. 11 ФЗ-152. Для обработки биометрии требуется письменное согласие законного представителя, оформленное отдельно. Обработка биометрии без такого согласия — состав по ч. 16 ст. 13.11 КоАП.

Что такое прокторинг с точки зрения 152-ФЗ и какие риски он создаёт?

Прокторинг — это контроль выполнения проверочных работ через запись экрана, веб-камеры и микрофона ученика. С точки зрения ФЗ-152 он порождает несколько категорий обработки одновременно.

Изображение лица ученика, снятое через веб-камеру с целью идентификации, — биометрические ПДн (ст. 11 ФЗ-152). Запись голоса также относится к биометрии. Дополнительно прокторинг может фиксировать данные о поведении, движениях глаз, отвлечениях — это уже может квалифицироваться как специальная категория (интимная жизнь) при определённых интерпретациях алгоритма.

Помимо согласия на биометрию, оператор обязан определить уровень защищённости информационной системы (ИСПДн). Если обрабатываются биометрические ПДн несовершеннолетних, система с высокой вероятностью требует УЗ-2 или УЗ-1 по ПП РФ №1119. Это влечёт применение технических мер по Приказу ФСТЭК №21 и обязательное подтверждение соответствия.

Что подготовить юристу образовательной организации, использующей Учи.ру

Договор поручения обработки ПДн с Учи.ру — с перечнем действий, категорий данных и обязательством конфиденциальности (ст. 6 п. 3 ФЗ-152).
Отдельные согласия родителей на передачу данных ребёнка в Учи.ру, оформленные по новым требованиям ФЗ-156 (с 01.09.2025).
Отдельные согласия на обработку биометрии при использовании прокторинга (письменная форма, ст. 11 ФЗ-152).
Актуальное уведомление о намерении обрабатывать ПДн в реестре РКН (pd.rkn.gov.ru) с отражением передачи данных в Учи.ру как самостоятельной цели.
Политика обработки ПДн с разделами по ч. 2 ст. 18.1 ФЗ-152, доступная на официальном сайте организации.

Как Роскомнадзор проверяет образовательные организации и чем это грозит?

РКН проводит как плановые, так и внеплановые проверки. Образовательный сектор попал в число приоритетных после нескольких крупных утечек данных учащихся в 2023–2025 годах. В 2025 году Арбитражный суд Москвы рассмотрел дело по ч. 14 ст. 13.11 КоАП в отношении Российской электронной школы — утечка затронула более 100 000 субъектов. С учётом статуса микропредприятия суд назначил существенно сниженный штраф, однако само дело показало: образовательные платформы не застрахованы от крупных санкций.

Типичные основания для протокола при проверке школы, работающей с EdTech-платформой:

Отсутствие или несоответствие политики обработки ПДн (ч. 3 ст. 13.11 КоАП — штраф до 60 000 ₽).
Согласия родителей, включённые в договор об образовательных услугах, а не оформленные отдельно (ч. 2 ст. 13.11 — штраф до 700 000 ₽).
Отсутствие договора поручения с Учи.ру (ч. 1 ст. 13.11 — штраф до 300 000 ₽).
Обработка биометрии (прокторинг) без письменного согласия (ч. 16 ст. 13.11 — точный диапазон уточняется, верифицировать перед публикацией).
Неуведомление РКН о намерении обрабатывать ПДн или устаревшие сведения в реестре (ч. 10 ст. 13.11 — штраф 100 000–300 000 ₽).

При утечке данных несовершеннолетних из-за инцидента с Учи.ру школа обязана уведомить РКН в течение 24 часов (ч. 3.1 ст. 21 ФЗ-152, Приказ РКН №187). Пропуск срока — штраф по ч. 11 ст. 13.11 от 1 до 3 млн ₽. Если утечка затронула более 1 000 субъектов — дополнительно применяется ч. 12–14 ст. 13.11 в зависимости от масштаба.

Если юрист получил от РКН уведомление о проверке или запрос по обработке ПДн несовершеннолетних — срок ответа по ст. 20 ФЗ-152 составляет 10 рабочих дней. Юристы DATUM подготовят ответ и сопроводят проверку.

Подготовиться к проверке РКН

Можно ли использовать Google Classroom и иностранные EdTech-инструменты в школе?

Использование Google Classroom, Microsoft Teams for Education и аналогичных зарубежных сервисов в российских школах создаёт риски по двум направлениям: локализация и трансграничная передача.

По ч. 5 ст. 18 ФЗ-152 запись, накопление и хранение ПДн граждан РФ должны осуществляться в базах данных на территории России. Первичный сбор данных ученика через интерфейс Google Classroom с записью на серверы за рубежом — прямое нарушение требования локализации. Санкция — ч. 8 ст. 13.11 КоАП, штраф от 1 до 6 млн ₽; при повторности — ч. 9, штраф от 6 до 18 млн ₽.

Если данные всё же передаются за рубеж (например, через API-интеграцию), оператор обязан уведомить РКН о трансграничной передаче до её начала (ст. 12 ФЗ-152). Передача в страны без адекватного уровня защиты требует отдельного согласования. США не входят в перечень стран с адекватной защитой.

Для школ, использующих Дневник.ру — отечественную платформу с серверами в России — проблема локализации снимается. Однако договор поручения и согласия родителей требуются в том же объёме, что и при работе с Учи.ру.

Типовые ситуации: как выглядит нарушение и чем заканчивается

Ситуация 1. Согласие в договоре об образовании. Городская школа в Сибирском ФО подключила Учи.ру в 2022 году. Согласие родителей было включено в текст договора об оказании платных образовательных услуг — отдельного документа не было. После 01.09.2025, когда вступил в силу ФЗ-156, это согласие перестало соответствовать требованиям ст. 9 ФЗ-152. При внеплановой проверке в конце 2025 года РКН составил протокол по ч. 2 ст. 13.11 КоАП. Штраф — в диапазоне 300 000–700 000 ₽. Документация была переработана, но штраф оспорить в полном объёме не удалось: нарушение носило длящийся характер.

Стратегия: переоформить согласия до получения запроса от РКН, использовать ст. 4.1.1 КоАП (замена на предупреждение) при первичном нарушении и статусе некоммерческой образовательной организации.

Ситуация 2. Прокторинг без согласия на биометрию. Частная онлайн-школа (Центральный ФО, осень 2025) использовала модуль прокторинга Учи.ру для промежуточной аттестации. Отдельного согласия родителей на обработку биометрических ПДн (изображение лица ребёнка) оформлено не было. Жалоба одного из родителей стала основанием для внеплановой проверки. Протокол по ч. 16 ст. 13.11 КоАП. Школа применила ст. 4.1.1 КоАП, подтвердила статус субъекта малого предпринимательства и первичность нарушения — получила предупреждение.

Стратегия: немедленно ввести отдельную форму согласия на биометрию при прокторинге; для крупных организаций, где ст. 4.1.1 не применима, — устранить нарушение до проверки.

Ситуация 3. Утечка данных через API Учи.ру. Региональный оператор образования (Уральский ФО, начало 2026) зафиксировал инцидент: через некорректно настроенный API-ключ третья сторона получила доступ к данным около 5 000 учеников (имя, дата рождения, данные об успеваемости). Данные загрузила именно школа — оператор. Уведомление РКН не было направлено в установленный 24-часовой срок. Протоколы: по ч. 13 ст. 13.11 (утечка 1 000–10 000 субъектов, штраф 3–5 млн ₽) и по ч. 11 ст. 13.11 (нарушение 24-часового срока, штраф 1–3 млн ₽).

Стратегия: внедрить регламент реагирования на инциденты заранее, назначить ответственного по ст. 22.1 ФЗ-152, провести DPIA для систем с данными несовершеннолетних.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации по EdTech и ПДн несовершеннолетних
Комплект ОРД под ключ — согласия, договоры поручения, политика обработки для образовательной организации
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка в Учи.ру?

Согласие законного представителя (родителя или опекуна) требуется всегда, когда школа передаёт данные несовершеннолетнего в Учи.ру. С 01.09.2025 (ФЗ-156) это согласие оформляется отдельным документом — включение в договор об образовании или правила пользования платформой недопустимо. Согласие должно содержать перечень передаваемых данных, наименование получателя (Учи.ру), цель передачи, срок и порядок отзыва по ст. 9 ФЗ-152. Обработка без надлежащего согласия влечёт штраф по ч. 2 ст. 13.11 КоАП от 300 000 до 700 000 ₽.

2. Можно ли использовать Google Classroom в российской школе?

Использование создаёт риски нарушения локализации (ч. 5 ст. 18 ФЗ-152): данные учеников — граждан РФ — должны первично записываться в базах на территории России. Google Classroom хранит данные на зарубежных серверах, что квалифицируется как нарушение по ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽). Дополнительно требуется уведомление РКН о трансграничной передаче (ст. 12 ФЗ-152). Отечественные аналоги с российской локацией серверов — Дневник.ру, Учи.ру, Сферум — эту проблему снимают при условии корректного договора поручения.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — это обработка биометрических персональных данных (изображение лица, голос) на основании ст. 11 ФЗ-152. Для его применения к несовершеннолетнему требуется отдельное письменное согласие законного представителя именно на обработку биометрии. Запись через веб-камеру в целях идентификации ученика — биометрия по умолчанию. Обработка без письменного согласия — состав по ч. 16 ст. 13.11 КоАП. Если прокторинговые данные хранятся за рубежом, добавляется риск по ч. 8 ст. 13.11.

4. Кто является оператором ПДн в связке школа — Учи.ру?

Школа — оператор: она определяет цели и состав передаваемых данных, несёт ответственность перед родителями и РКН. Учи.ру — обработчик по поручению (ст. 6 п. 3 ФЗ-152). Между ними обязателен договор поручения обработки ПДн с перечнем действий и обязательством конфиденциальности. Если Учи.ру самостоятельно определяет цели обработки (например, для собственной аналитики), платформа приобретает статус самостоятельного оператора по этим целям с отдельными обязательствами перед РКН.

5. Что грозит школе за утечку данных учеников?

Размер санкции зависит от числа пострадавших субъектов. При утечке от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11 КоАП, штраф 3–5 млн ₽. При 10 000–100 000 субъектов — ч. 13, штраф 5–10 млн ₽. При утечке данных несовершеннолетних с биометрией — дополнительно применяется ч. 17 ст. 13.11 (15–20 млн ₽). Если школа не уведомила РКН за 24 часа по Приказу РКН №187 — штраф по ч. 11 ст. 13.11 ещё от 1 до 3 млн ₽. При повторной утечке возможен оборотный штраф по ч. 15 — до 3% годовой выручки, но не менее 20 млн ₽.

Итог

Учи.ру — это не просто образовательный сервис, а полноценная инфраструктура обработки персональных данных несовершеннолетних, включающая биометрию (прокторинг), передачу данных третьим лицам (Дневник.ру, региональные системы) и потенциальную трансграничную передачу. Каждый из этих процессов требует отдельного правового основания, оформленного по нормам ФЗ-152 в редакции 2025 года.

Юристы DATUM сопровождают образовательные организации и EdTech-платформы в вопросах соответствия 152-ФЗ: от подготовки пакета ОРД до защиты в Роскомнадзоре при проверке и в арбитраже при штрафе по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн несовершеннолетних, EdTech, прокторинг, согласия родителей по ст. 9 ФЗ-152 в ред. ФЗ-156, образовательные МИС и ЕГИСЗ.