аналитика 18 февраля 2029 По состоянию на 18 февраля 2029

Утечка в вузе: алгоритм действий

Утечка персональных данных в образовательной организации — это неправомерный доступ, распространение или уничтожение ПДн студентов, сотрудников, абитуриентов или несовершеннолетних, обрабатываемых вузом как оператором по ст. 3 ФЗ-152.

С 30.05.2025 за утечку, затронувшую от 1 000 субъектов, штраф составляет от 3 до 15 млн ₽ (ч. 12–14 ст. 13.11 КоАП в редакции ФЗ-420). Повторная утечка — оборотный штраф: 1–3% годовой выручки, но не менее 20 млн ₽. На первичное уведомление РКН — 24 часа.

Если вы юрист вуза и обнаружен инцидент — проверьте алгоритм ниже: порядок уведомления, сроки, доказательная база и типовые ошибки, которые переводят дело из административного в уголовное.

Образовательные организации обрабатывают три категории персональных данных одновременно: общие (контакты, успеваемость), специальные (состояние здоровья для льгот, инвалидность) и данные несовершеннолетних, для которых требуется согласие родителей. Это делает вуз одной из наиболее уязвимых мишеней для РКН: любой инцидент с МИС, системой прокторинга, дневником или ЕГЭ-порталом одновременно затрагивает несколько составов ст. 13.11 КоАП. Ниже — пошаговый алгоритм, применимый как к небольшому колледжу, так и к федеральному университету с сотнями тысяч субъектов.

Что считается утечкой в вузе и какие нормы применяются?

Утечка — это любые неправомерные действия с ПДн: передача третьим лицам без основания, несанкционированный доступ, публикация в открытом доступе, уничтожение без законного основания. Применительно к вузу это охватывает: взлом системы управления обучением (LMS), слив базы абитуриентов через уязвимость сайта, несанкционированный экспорт данных сотрудником, утрату бумажных личных дел студентов при неавтоматизированной обработке.

«Ст. 21 ч. 3.1 ФЗ-152 обязывает оператора уведомить РКН о факте утечки в течение 24 часов с момента обнаружения и направить отчёт о результатах внутреннего расследования в течение 72 часов. Порядок уведомления установлен Приказом РКН №187 от 14.11.2022, действующим с 01.03.2023.»

Специфика образовательной организации: студенты до 18 лет — несовершеннолетние субъекты, их данные обрабатываются только с согласия родителей (законных представителей) по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025. Данные о состоянии здоровья (справки для льгот, инвалидность) — специальные категории по ст. 10 ФЗ-152, их утечка автоматически повышает степень вреда субъекту и влияет на квалификацию нарушения. Данные результатов ЕГЭ, зачётных книжек, академических задолженностей — общие ПДн, но в совокупности формируют профиль, который суд оценивает как чувствительный.

С точки зрения ст. 19 ФЗ-152 вуз обязан применять организационные и технические меры защиты. Конкретный состав мер определяется уровнем защищённости ИСПДн по ПП РФ №1119: при обработке данных более 100 000 субъектов применяется УЗ-3 или выше, что предполагает отдельные требования Приказа ФСТЭК №21 к идентификации, управлению доступом и регистрации событий.

Произошёл инцидент и нужно уведомить РКН в течение 24 часов?

Юрист вуза действует в условиях жёсткого временного ограничения. Первичное уведомление по Приказу РКН №187 требует точного указания категорий пострадавших ПДн, числа субъектов и обстоятельств инцидента. Ошибка в первичном уведомлении сужает аргументацию при последующем обжаловании штрафа. Юристы DATUM возьмут реагирование: первичное уведомление, координацию расследования, подготовку 72-часового отчёта.

Реагировать на утечку

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram

Как правильно уведомить РКН об утечке в вузе: пошаговый порядок

Первые действия юриста вуза при обнаружении инцидента должны быть задокументированы с точностью до минуты — это доказательная база для последующего взаимодействия с РКН и возможного обжалования штрафа.

Шаг 1. Фиксация факта обнаружения. Составить акт об обнаружении инцидента с указанием даты, времени, лица, обнаружившего утечку, и первичных признаков (какая система, какие данные предположительно затронуты). Именно с этого момента начинает течь 24-часовой срок по ч. 3.1 ст. 21 ФЗ-152.

Шаг 2. Первичная оценка масштаба. Установить: число субъектов (менее 1 000 / 1 000–10 000 / 10 000–100 000 / более 100 000), категории ПДн (общие, специальные, биометрические), наличие несовершеннолетних среди пострадавших субъектов. От этого зависит квалификация по ч. 12, 13 или 14 ст. 13.11 КоАП.

Шаг 3. Первичное уведомление РКН — не позднее 24 часов. Направляется через портал pd.rkn.gov.ru по форме, утверждённой Приказом РКН №187. В уведомлении указываются: наименование оператора, дата и время обнаружения, категории затронутых ПДн, предположительное число субъектов, принятые меры по локализации. Уведомление подаётся с использованием УКЭП или через ЕСИА.

Шаг 4. Внутреннее расследование и отчёт — не позднее 72 часов. Расследование устанавливает: причину и вектор утечки, точное число субъектов и состав затронутых ПДн, перечень принятых мер по устранению причины и недопущению повторения. Отчёт направляется в РКН в том же порядке и дополняет первичное уведомление.

«Неуведомление или несвоевременное уведомление РКН об инциденте с ПДн квалифицируется по ч. 11 ст. 13.11 КоАП и влечёт штраф для юридического лица в размере от 1 000 000 до 3 000 000 ₽ — независимо от масштаба самой утечки.»

Шаг 5. Уведомление субъектов. ФЗ-152 прямой нормы об уведомлении субъектов об утечке не содержит, однако РКН в практике 2025–2026 годов расценивает добровольное уведомление как смягчающее обстоятельство при последующем назначении наказания. Применительно к вузу особого внимания требуют несовершеннолетние: уведомление направляется их законным представителям.

Что подготовить юристу вуза до начала проверки РКН

Акт об обнаружении инцидента с датой и временем (точность до минуты), подписанный ответственным лицом по ст. 22.1 ФЗ-152
Скриншоты или иные технические артефакты, фиксирующие момент обнаружения и исходный масштаб утечки
Копии уведомлений в РКН (первичного и 72-часового) с подтверждениями отправки и входящими номерами
Перечень принятых мер по локализации инцидента и недопущению повторения с датами исполнения
Актуальную политику обработки ПДн и комплект ОРД: приказ о назначении ответственного по ст. 22.1, согласия субъектов (в том числе родителей несовершеннолетних), журнал обращений субъектов

Какие данные вуза подпадают под специальный режим защиты?

Образовательная организация обрабатывает несколько категорий ПДн с повышенным правовым статусом. Понимание их состава определяет квалификацию нарушения и размер штрафа.

Данные несовершеннолетних. Студенты колледжей и старшеклассники подготовительных курсов при вузах часто являются несовершеннолетними. Согласие на обработку их ПДн дают родители или законные представители. С 01.09.2025 согласие оформляется как отдельный документ (ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025) — нельзя объединять его с договором об оказании образовательных услуг или правилами приёма. Если согласие было включено в договор до 01.09.2025, обратной силы у требования нет; новые согласия с указанной даты — только отдельным документом.

Специальные категории ПДн. Сведения о состоянии здоровья студентов (справки об инвалидности, психологические заключения для ОВЗ, медицинские противопоказания) — специальные категории по ст. 10 ФЗ-152. Их обработка разрешена только при наличии прямого основания (п. 2 ст. 10). Утечка специальных категорий ПДн по позиции РКН и судов рассматривается как причинение существенного вреда субъекту, что влияет на оценку обстоятельств при назначении наказания.

ПДн в системах прокторинга. Прокторинг при онлайн-экзаменах обрабатывает изображение лица студента в режиме реального времени — это биометрические ПДн по ст. 11 ФЗ-152. Обработка биометрии допустима только с письменного согласия. Нарушение — состав ч. 16 ст. 13.11 КоАП. Утечка биометрических данных — ч. 17, штраф 15–20 млн ₽. Вузу необходимо убедиться, что договор с провайдером прокторинга содержит условие о поручении обработки по ст. 6 ФЗ-152 и провайдер не использует биометрию для своих целей.

ПДн в Дневник.ру, ЕГЭРР и смежных системах. При передаче данных в региональные информационные системы образования вуз выступает оператором, передающим ПДн третьим лицам. Основание передачи должно быть предусмотрено согласием субъекта или нормой закона. Отсутствие основания — нарушение ч. 1 ст. 13.11 КоАП.

Если юрист вуза обнаружил, что согласия родителей несовершеннолетних студентов включены в договор об оказании услуг, а не оформлены отдельным документом, — это нарушение ч. 2 ст. 13.11 КоАП с 01.09.2025 (штраф до 700 000 ₽). Аудит ОРД вуза выявит такие пробелы до проверки РКН.

Заказать аудит 152-ФЗ

Как это применяется на практике: три сценария для юриста вуза

Сценарий 1. Утечка базы абитуриентов через уязвимость приёмного портала. Ситуация: в период приёмной кампании через уязвимость в веб-форме подачи документов злоумышленник выгрузил базу из 15 000 записей (ФИО, СНИЛС, контактные данные, результаты ЕГЭ). Инцидент обнаружен службой ИБ через 6 часов. Доказательства: логи веб-сервера, запись о выгрузке в СУБД, акт об обнаружении. Вероятный исход: квалификация по ч. 13 ст. 13.11 КоАП (10 000–100 000 субъектов) — штраф 5–10 млн ₽. Дополнительно — протокол по ч. 11 ст. 13.11 КоАП, если уведомление РКН направлено позже 24 часов (штраф 1–3 млн ₽). Стратегия: немедленное уведомление РКН, фиксация оперативности как смягчающего обстоятельства, применение ст. 4.1 КоАП при обжаловании.

Сценарий 2. Сотрудник деканата отправил личные дела студентов на личную почту. Ситуация: сотрудник деканата направил архив с личными делами 2 300 студентов (включая медицинские справки об инвалидности) на личный адрес электронной почты для работы из дома. Утечка выявлена при внутреннем аудите. Доказательства: логи почтового сервера, акт аудита, объяснительная сотрудника. Вероятный исход: квалификация по ч. 12 ст. 13.11 КоАП (1 000–10 000 субъектов, специальные категории — отягчающее) — штраф 3–5 млн ₽. Присутствие специальных категорий ПДн увеличивает вероятность выбора РКН верхней границы диапазона. Стратегия: письменное согласие пострадавших студентов на ограниченную обработку, локализация инцидента, демонстрация принятых организационных мер (ограничение прав доступа к почте, DLP-политика).

Сценарий 3. Провайдер прокторинга допустил утечку биометрии. Ситуация: сторонний провайдер прокторинга, используемый вузом для онлайн-экзаменов, сообщил об инциденте: биометрические данные лиц 800 студентов (изображения лиц, записи сессий) оказались в открытом доступе. Доказательства: уведомление провайдера, данные о числе затронутых субъектов. Вероятный исход: вуз как оператор несёт ответственность за действия обработчика по ст. 6 ФЗ-152 (принцип ответственности оператора за подрядчика). Квалификация — ч. 17 ст. 13.11 КоАП (утечка биометрии): штраф 15–20 млн ₽. Стратегия: немедленный разрыв или приостановка договора с провайдером, уведомление РКН, предоставление договора поручения обработки как доказательства надлежащей организации — для применения смягчающих обстоятельств по ст. 4.1 КоАП.

Публичный кейс. Арбитражный суд Москвы в начале 2026 года рассмотрел дело об утечке данных более 100 000 субъектов в отношении оператора из сферы цифровых сервисов в образовании (дело № А40-351064/2025 по данным ГАРАНТ.РУ). Квалификация — ч. 14 ст. 13.11 КоАП. С учётом статуса оператора как микропредприятия и расчёта по правилам для ИП суд назначил штраф 400 000 ₽. Кейс показывает: организационно-правовой статус оператора напрямую влияет на итоговый размер санкции; крупный вуз с выручкой от 1 млрд ₽ в аналогичной ситуации получит штраф в пределах установленного диапазона 10–15 млн ₽.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка ОРД, согласий, систем вуза по чек-листу из 38 пунктов
Комплект ОРД под ключ — политика, согласия родителей, приказы, регламент реагирования на инциденты
DPO-аутсорсинг — ведение функции ответственного по ст. 22.1 ФЗ-152 на абонементе

Частые вопросы

1. Когда нужно согласие родителей при обработке ПДн студентов?

Согласие законного представителя требуется при обработке ПДн несовершеннолетнего субъекта — до достижения 18 лет. С 01.09.2025 согласие оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025: его нельзя включать в текст договора об оказании образовательных услуг, правила приёма или иные документы. Реквизиты согласия: ФИО представителя и несовершеннолетнего, наименование оператора, перечень ПДн, цели, действия, срок, способ отзыва.

2. Можно ли использовать Google Classroom, если данные студентов уходят за рубеж?

Использование Google Classroom означает передачу ПДн российских студентов за пределы РФ. По ч. 5 ст. 18 ФЗ-152 первичная запись, систематизация, накопление, хранение и извлечение ПДн граждан РФ должны осуществляться в базах данных на территории России. Трансграничная передача в страну без адекватной защиты требует уведомления РКН по ст. 12 ФЗ-152. Отсутствие уведомления — нарушение. С 01.07.2025 требования локализации ужесточены. Вузу необходима оценка конкретной архитектуры передачи данных перед использованием зарубежных LMS.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг, использующий видеозапись или распознавание лица студента, обрабатывает биометрические ПДн по ст. 11 ФЗ-152 — это изображение, позволяющее установить личность. Обработка биометрии допустима только с письменного согласия субъекта (п. 1 ч. 2 ст. 11 ФЗ-152). Провайдер прокторинга должен действовать на основании договора поручения обработки по ст. 6 ФЗ-152 — иначе вуз несёт ответственность за несанкционированную передачу ПДн третьему лицу. Нарушение — ч. 16 ст. 13.11 КоАП; утечка биометрии — ч. 17 (штраф 15–20 млн ₽).

4. Кто является оператором ПДн в онлайн-школе при вузе?

Оператором является юридическое лицо, которое самостоятельно или совместно с другими определяет цели и содержание обработки ПДн — по ст. 3 ФЗ-152. Если онлайн-школа является структурным подразделением вуза, оператором выступает вуз. Если онлайн-школа — отдельное юридическое лицо (ООО, АНО), оно является самостоятельным оператором и обязано подать уведомление в РКН по ст. 22 ФЗ-152, разработать собственную политику и комплект ОРД. Ошибка в определении оператора ведёт к штрафу по ч. 10 ст. 13.11 КоАП (100–300 тыс. ₽) за необоснованное необращение в РКН.

5. Что грозит вузу за утечку данных студентов?

Санкции зависят от числа пострадавших субъектов. Утечка от 1 000 до 10 000 субъектов — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП. От 10 000 до 100 000 — 5–10 млн ₽ по ч. 13. Более 100 000 субъектов — 10–15 млн ₽ по ч. 14. Если утекли биометрические ПДн — ч. 17, штраф 15–20 млн ₽. При повторной утечке применяется оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽. Дополнительно: неуведомление РКН в 24 часа — ч. 11 ст. 13.11 (1–3 млн ₽). В случае умышленных действий сотрудника — возможна квалификация по ст. 272.1 УК РФ (введена с 11.12.2024), максимальное наказание по тяжким составам — до 10 лет лишения свободы.

Итог

Вуз обрабатывает сразу три категории ПДн с повышенным правовым статусом: данные несовершеннолетних, специальные категории (здоровье, ОВЗ) и биометрию в системах прокторинга. Каждая категория — отдельное основание для штрафа при инциденте. С 30.05.2025 шкала санкций по ст. 13.11 КоАП делает даже одиночную утечку от 1 000 субъектов событием с ценой от 3 млн ₽.

Практика DATUM в образовательном секторе включает аудиты вузов, колледжей и EdTech-платформ, сборку ОРД под специфику образовательной организации (согласия родителей, прокторинг, КЭДО для сотрудников), сопровождение проверок РКН и защиту в арбитраже при штрафах по ст. 13.11 КоАП. Специализация — Ольга Нечаева, аналитик практики DATUM по медицине и образованию.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в медицине (323-ФЗ × 152-ФЗ): МИС, ЕГИСЗ, телемедицина, согласия пациентов, врачебная тайна. Образовательные организации: согласия родителей, прокторинг, обработка ПДн несовершеннолетних.

Инцидент с ПДн в вузе или запрос РКН — оценим риски и предложим план

Оценить риски по 152-ФЗ

Практика «Ветров и партнёры» по 152-ФЗ с 2014 года · +7 (383) 310-38-76 · +7 (983) 510-38-76 · Telegram · info@vitveteam.ru