Утечка в школе: алгоритм действий

Образовательная организация — один из наиболее уязвимых операторов ПДн: школа ведёт данные детей, родителей, педагогов, передаёт их в федеральные системы (ФГИС «Моя школа», Госуслуги, ФИС ГИА), подключает сторонние EdTech-платформы. При этом бюджет на информационную безопасность минимален, а правовая культура обработки ПДн — слабая. Результат: по данным Роскомнадзора, образование входит в топ-5 отраслей по числу зафиксированных инцидентов. Настоящий материал — алгоритм действий юриста образовательной организации при обнаружении утечки ПДн: от первых часов до завершения расследования.

Что считается утечкой в образовательной организации?

Утечка персональных данных в понимании ст. 21 ФЗ-152 — это неправомерная или случайная передача, распространение, предоставление доступа, уничтожение или иные неправомерные действия с ПДн. Для образовательной организации это означает широкий круг инцидентов.

Типовые инциденты в школах: публикация списков учеников с оценками в открытом доступе; утечка медицинских данных из личных дел (группа здоровья, сведения об инвалидности); компрометация базы электронного дневника (Дневник.ру, ГИС «Моя школа» и аналоги); несанкционированный доступ к результатам ЕГЭ до официального объявления; утечка видеозаписей с камер наблюдения, содержащих биометрические данные; передача данных родителей сторонним EdTech-платформам без надлежащего поручения.

Ключевая особенность школы как оператора: значительная часть обрабатываемых данных — специальные категории (ст. 10 ФЗ-152): сведения о состоянии здоровья, данные о детях с ОВЗ. Утечка специальных категорий квалифицируется строже. Данные несовершеннолетних требуют согласия законного представителя — любое нарушение этого требования создаёт самостоятельный состав по ч. 2 ст. 13.11 КоАП.

Каков алгоритм действий в первые 24 часа?

Юрист образовательной организации действует по следующей последовательности с момента получения информации об инциденте.

Шаг 1. Фиксация факта и времени обнаружения. Немедленно составьте служебную записку или акт с точным временем, когда организации стало известно об инциденте. Именно этот момент запускает 24-часовой отсчёт. Источник информации — IT-специалист, жалоба родителя, уведомление от платформы, публикация в сети — фиксируется в акте.

Шаг 2. Предварительная оценка масштаба. Установите: какие категории данных затронуты; сколько субъектов пострадало (хотя бы приблизительно); какие системы скомпрометированы. Точность здесь не нужна — нужна достаточность для первичного уведомления. Завысить масштаб в первичном уведомлении допустимо; занизить — рискованно, если РКН установит расхождение.

Шаг 3. Первичное уведомление РКН через портал pd.rkn.gov.ru. Форма подаётся в электронном виде через ЕСИА или УКЭП по Приказу РКН №187 от 14.11.2022. В первичном уведомлении указывают: дату и время обнаружения; предполагаемую причину; категории и примерный объём ПДн; принятые меры по локализации. Не ждите завершения расследования — уведомление подаётся по факту обнаружения, а не по факту установления виновника.

Шаг 4. Локализация инцидента. IT-служба блокирует скомпрометированные учётные записи, отключает уязвимые сервисы, сохраняет логи. Юрист фиксирует все принятые меры письменно — это понадобится для 72-часового отчёта и при возможном обжаловании штрафа.

Что входит в 72-часовой отчёт для Роскомнадзора?

Через 72 часа после первичного уведомления организация обязана представить отчёт о результатах внутреннего расследования. Требования к содержанию установлены Приказом РКН №187 от 14.11.2022. Отчёт должен включать уточнённые сведения об объёме и категориях затронутых данных; установленную или предполагаемую причину утечки; перечень принятых мер по устранению последствий; меры, направленные на недопущение повторного инцидента.

Если расследование к 72 часам не завершено — отчёт всё равно подаётся с имеющимися данными и пометкой о продолжении расследования. Последующие обновления направляются в РКН в рабочем порядке. Неподача отчёта в срок квалифицируется так же, как и неподача первичного уведомления.

Какие штрафы грозят школе за утечку ПДн с 30.05.2025?

С момента вступления в силу ФЗ-420 от 30.11.2024 санкции за утечки кратно возросли. Для образовательной организации как юридического лица применяются следующие составы ст. 13.11 КоАП в редакции с 30.05.2025.

Неуведомление или несвоевременное уведомление РКН об утечке — штраф 1–3 млн руб. по ч. 11 ст. 13.11. Утечка от 1 000 до 10 000 субъектов — 3–5 млн руб. по ч. 12. Утечка от 10 000 до 100 000 субъектов — 5–10 млн руб. по ч. 13. Утечка более 100 000 субъектов — 10–15 млн руб. по ч. 14. При повторной утечке — оборотный штраф по ч. 15: 1–3% совокупной годовой выручки, не менее 20 млн руб. и не более 500 млн руб.

Отдельный состав — нарушение требований к согласию при обработке ПДн несовершеннолетних. Если согласие законного представителя оформлено с нарушением реквизитов, установленных ст. 9 ФЗ-152 (в редакции с 01.09.2025 по ФЗ-156 — отдельный документ), это ч. 2 ст. 13.11: штраф 300 000–700 000 руб. При повторном нарушении — ч. 2.1: 1–1,5 млн руб.

Важно учитывать: школа как бюджетное учреждение — юридическое лицо. Ст. 4.1.1 КоАП допускает замену штрафа на предупреждение для организаций, отвечающих критериям микропредприятия, при первичном нарушении без реального вреда. Однако к составам ч. 12–14 (утечки) и тем более к ч. 15 (оборотный) эта льгота не применяется.

Специфика ПДн несовершеннолетних: согласие родителей и прокторинг

Образовательная организация обрабатывает данные детей до 18 лет. По ч. 6 ст. 9 ФЗ-152 согласие на обработку ПДн несовершеннолетних даёт законный представитель — родитель или опекун. Это ключевое правило, нарушение которого фиксируется РКН при любой плановой или внеплановой проверке.

С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом — не может быть включено в договор об образовательных услугах, согласие на фотосъёмку или иной документ. Реквизиты согласия: ФИО представителя и ребёнка, наименование оператора, цель обработки, перечень ПДн, перечень действий, срок действия, способ отзыва. Отсутствие любого реквизита — основание для штрафа по ч. 2 ст. 13.11.

Отдельная проблема — прокторинг при дистанционном обучении и ЕГЭ. Системы прокторинга фиксируют изображение лица и голос, то есть обрабатывают биометрические ПДн по смыслу ст. 11 ФЗ-152. Для биометрии требуется письменное согласие. Если школа подключает стороннюю платформу прокторинга — необходимо отдельное поручение на обработку данных (п. 3 ст. 6 ФЗ-152) с конкретным перечнем допустимых действий. Отсутствие поручения делает школу ответственной за все действия платформы с данными детей.

Сервисы типа Дневник.ру и Google Classroom — аналогичная история. Школа, подключающая внешнюю платформу без договора-поручения на обработку ПДн, фактически передаёт данные несовершеннолетних третьему лицу без правового основания. Google Classroom дополнительно влечёт вопрос трансграничной передачи по ст. 12 ФЗ-152, если серверы расположены за рубежом.

Как применяется практика: три сценария для юриста школы

Сценарий 1. Утечка через EdTech-платформу. Школа использовала платформу онлайн-обучения без договора-поручения. Платформа была взломана, данные 4 500 учеников (ФИО, дата рождения, результаты тестов) оказались в открытом доступе. Ситуация: у школы нет документального подтверждения поручения обработки. Доказательства: отсутствие договора с платформой, факт использования подтверждён журналами. Вероятный исход: штраф по ч. 1 ст. 13.11 (обработка без правового основания, 150 000–300 000 руб.) + ч. 12 (утечка от 1 000 субъектов, 3–5 млн руб.) + ч. 11 (если уведомление пропущено). Стратегия: немедленно подать уведомление, зафиксировать меры реагирования, оспорить ч. 1 через отсутствие умысла и оперативность устранения.

Сценарий 2. Публикация персональных данных учителем. Классный руководитель разместил в родительском чате список учеников с указанием диагнозов (группа здоровья, ОВЗ). Ситуация: специальные категории ПДн (ст. 10 ФЗ-152) переданы без согласия и без правового основания. Доказательства: скриншоты чата, приказ о назначении ответственного за обработку. Вероятный исход: ч. 2 ст. 13.11 (обработка спецкатегорий без согласия, 300 000–700 000 руб.); дисциплинарная ответственность сотрудника. Стратегия: показать РКН, что нарушение — действие сотрудника вопреки инструктажу; предоставить документы об ознакомлении персонала с требованиями ФЗ-152.

Сценарий 3. Взлом системы электронных журналов. Хакерская атака на региональную систему электронных дневников повлекла компрометацию данных 120 000 учеников нескольких школ. Ситуация: операторами являются и региональный оператор системы, и каждая школа-участник. Доказательства: уведомление от регионального оператора, журналы системы. Вероятный исход: ч. 14 ст. 13.11 (утечка более 100 000 субъектов, 10–15 млн руб.) для регионального оператора; для отдельной школы — риск солидарного привлечения. Стратегия: зафиксировать, что школа не является первичным оператором системы; направить уведомление РКН с указанием на роль регионального оператора; обжаловать в случае привлечения как самостоятельного субъекта.

Кейс из практики. Образовательная организация (Центральный ФО, весна 2026) использовала платформу прокторинга без письменных согласий родителей на биометрическую обработку данных несовершеннолетних. После жалобы родителя РКН возбудил дело по ч. 2 ст. 13.11. Юридическая служба представила организационно-распорядительную документацию, подтверждающую, что платформа подключена по поручению с ограниченными целями, и инициировала переоформление согласий в срок, установленный предписанием. Штраф был назначен в минимальном размере с учётом оперативного устранения нарушений.

Кейс из публичной практики (case_S1_rosh). Арбитражный суд Москвы рассмотрел дело о крупной утечке данных образовательной платформы с более чем 100 000 пострадавших субъектов. Несмотря на квалификацию по ч. 14 ст. 13.11 (штраф для юрлиц 10–15 млн руб.), суд применил расчёт, учитывающий статус организации, и назначил существенно меньший штраф. Это подтверждает: правовая позиция и процессуальное поведение оператора влияют на итоговый размер санкции.

Услуги DATUM по теме

• Аудит соответствия 152-ФЗ — проверка документов школы по чек-листу, отчёт с приоритетами
• Комплект ОРД под ключ — согласия родителей, политика, приказы, поручения платформам
• DPO-аутсорсинг — функция ответственного за обработку на абонементе, ответы РКН

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие законного представителя требуется при любой обработке ПДн несовершеннолетних, если нет иного правового основания — например, исполнение договора об образовательных услугах. С 01.09.2025 по ФЗ-156 согласие оформляется отдельным документом с обязательными реквизитами по ст. 9 ФЗ-152: ФИО представителя и ребёнка, цель, перечень ПДн, перечень действий, срок, способ отзыва. Включение согласия в договор или иной документ более не допускается.

2. Можно ли использовать Google Classroom в российской школе?

Использование Google Classroom создаёт два правовых риска: трансграничная передача ПДн по ст. 12 ФЗ-152 (серверы Google расположены за пределами России) и отсутствие договора-поручения на обработку. Для правомерного использования необходимо: уведомить РКН о трансграничной передаче, убедиться в наличии адекватной защиты в стране получателя или получить отдельное согласие субъектов, заключить договор с Google как обработчиком по п. 3 ст. 6 ФЗ-152. На практике большинство школ этого не делает, что создаёт системный риск при проверке.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг предполагает видеофиксацию лица экзаменуемого и запись голоса — это обработка биометрических персональных данных по ст. 11 ФЗ-152. Для биометрии требуется письменное согласие субъекта (для несовершеннолетних — законного представителя). Если прокторинг ведёт сторонняя платформа, школа обязана заключить с ней договор-поручение на обработку данных с ограниченным перечнем допустимых действий. Нарушение — ч. 2 ст. 13.11 КоАП, штраф 300 000–700 000 руб.

4. Кто является оператором ПДн в онлайн-школе или при использовании EdTech-платформы?

Оператором является та организация, которая определяет цели и способы обработки данных. Если школа подключает внешнюю платформу для обучения — школа остаётся оператором, а платформа действует как лицо, осуществляющее обработку по поручению (п. 3 ст. 6 ФЗ-152). Без письменного договора-поручения платформа юридически становится самостоятельным оператором без правового основания — ответственность за это несёт школа, предоставившая данные учеников.

5. Что грозит школе за утечку ПДн в 2025–2026 году?

В зависимости от масштаба: утечка 1 000–10 000 субъектов — 3–5 млн руб. (ч. 12 ст. 13.11 КоАП), 10 000–100 000 — 5–10 млн руб. (ч. 13), более 100 000 — 10–15 млн руб. (ч. 14). Неуведомление РКН в 24 часа добавляет 1–3 млн руб. (ч. 11). При повторной утечке — оборотный штраф по ч. 15: 1–3% выручки, не менее 20 млн руб. Дополнительно: если утекли биометрические данные — 15–20 млн руб. по ч. 17 ст. 13.11.

Итог

Утечка данных в образовательной организации — не только репутационный, но и серьёзный правовой инцидент. Правильное поведение в первые 24 часа: фиксация момента обнаружения, немедленная подача уведомления в РКН, локализация инцидента — определяет, получит ли организация штраф в минимальном размере или столкнётся с кратными санкциями за несоблюдение процедуры.

DATUM сопровождает образовательные организации в ситуациях утечки: от первичного уведомления до закрытия административного производства. Практика включает опыт работы с региональными образовательными системами, EdTech-платформами и федеральными операторами в сфере образования.

4 июня 2026 года