ВУЗы и научные организации: проверки РКН
Университеты, академии и научные центры обрабатывают персональные данные трёх категорий субъектов одновременно: обучающихся (в том числе несовершеннолетних), сотрудников и внешних контрагентов. При этом часть данных относится к специальным категориям по ст. 10 ФЗ-152 — состояние здоровья, инвалидность, — а ПДн несовершеннолетних требуют особого порядка получения согласий. Именно это сочетание делает образовательные организации высокорисковыми операторами в глазах Роскомнадзора. В материале разбираем, какие основания применяет РКН для проверок ВУЗов, как работает профвизит и плановая проверка, какие индикаторы риска срабатывают чаще всего и как выстроить защиту до прихода инспектора.
По каким основаниям РКН проверяет университеты?
Роскомнадзор проводит проверки операторов ПДн по четырём основным основаниям. Плановые проверки включаются в ежегодный план с учётом индикаторов риска: последнее плановое мероприятие, жалобы субъектов, факт утечки за предшествующие два года. Внеплановые проверки назначаются по жалобе субъекта, по поручению прокуратуры или на основании собственного решения РКН при получении сведений о нарушении. Профвизит — форма без права выдачи предписания, используется для консультирования оператора; применяется как профилактический инструмент, но по итогам может быть инициирована внеплановая проверка. Документарная проверка проводится без выезда: оператору направляется мотивированный запрос с перечнем документов.
Для ВУЗов и научных организаций характерны следующие сценарии инициирования: жалоба студента или соискателя на отказ предоставить информацию об обработке ПДн либо на отказ в уничтожении данных; публичное обнаружение утечки (появление базы данных студентов в открытом доступе); несоответствие записи в реестре операторов фактическому объёму и целям обработки; отсутствие или несоответствие требованиям политики обработки ПДн на официальном сайте организации.
Мораторий на плановые проверки, действовавший в отношении малого бизнеса, на государственные образовательные организации распространялся ограниченно. Большинство федеральных ВУЗов в статус субъектов МСП не попадает, поэтому на них плановые мероприятия РКН распространяются в общем порядке. Частные образовательные организации с выручкой до 800 млн ₽ могут претендовать на применение ст. 4.1.1 КоАП при первичном нарушении, но это не исключает проведения самой проверки.
Получили уведомление о проверке РКН или предписание?
Для юриста образовательной организации каждый из этапов проверки — документарный запрос, выездное мероприятие, составление акта — создаёт точки риска. Неверный ответ на запрос или пропущенный срок представления документов фиксируется в акте и используется как доказательство в последующем постановлении. Срок на представление документов по запросу РКН — как правило, 10 рабочих дней с даты получения требования. У юристов DATUM есть практика сопровождения проверок РКН в образовательных организациях.
Подготовиться к проверке РКНОтветим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru · Telegram
Какие индикаторы риска срабатывают чаще всего?
РКН использует индикаторы риска для планирования и инициирования внеплановых контрольных мероприятий. Применительно к ВУЗам и научным организациям на практике чаще всего фиксируются следующие.
Первый индикатор — отсутствие или несоответствие требованиям ст. 18.1 ФЗ-152 политики обработки персональных данных. Организация обязана опубликовать политику на официальном сайте в свободном доступе. В образовательных организациях нередко размещают документ, разработанный несколько лет назад и не учитывающий изменения 2024–2025 годов: новые основания обработки, категории субъектов (несовершеннолетние, иностранные студенты), цели передачи данных в ФГИС «Моя школа» или аналогичные государственные системы.
Второй индикатор — несоответствие записи в реестре операторов фактическому объёму обработки. Университет, подавший уведомление по приказу РКН №180 пять лет назад, мог с тех пор внедрить LMS-платформу, систему видеонаблюдения, биометрическую СКУД или корпоративную почту в облаке иностранного провайдера — ни одно из этих изменений в реестр не внесено.
Третий индикатор — жалобы субъектов на нарушение сроков или порядка ответа на обращения. По ст. 20 ФЗ-152 оператор обязан ответить субъекту на запрос об обработке его ПДн в течение 10 рабочих дней. Жалоба в РКН о нарушении этого срока автоматически попадает в систему учёта и учитывается при формировании плана проверок.
Четвёртый индикатор — публикация или иное распространение персональных данных в открытом доступе. Для ВУЗов типичная ситуация: списки студентов, приказы о зачислении или отчислении с ФИО, группами и оценками размещены на корпоративном сайте в открытом разделе без правового основания по ст. 10.1 ФЗ-152.
Что проверяет инспектор РКН: чек-лист для юриста ВУЗа
В ходе документарной или выездной проверки инспектор запрашивает определённый набор документов и проверяет их содержание на соответствие требованиям ФЗ-152 и подзаконных актов. Типовой перечень для образовательной организации включает следующее.
Что подготовить к проверке РКН
- Уведомление о намерении обрабатывать ПДн (приказ РКН №180) и актуальная выписка из реестра операторов с pd.rkn.gov.ru — соответствие фактическому объёму и целям обработки.
- Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152: цели, категории субъектов, правовые основания, сроки хранения, порядок реализации прав субъектов.
- Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152 с указанием должности, контактов и полномочий.
- Формы согласий субъектов: отдельные документы по ст. 9 ФЗ-152 в редакции с 01.09.2025 (ФЗ-156) для работников, студентов, родителей несовершеннолетних — с полным перечнем обязательных реквизитов.
- Журнал учёта обращений субъектов ПДн за последние 12 месяцев с отметками о датах ответов и результатах рассмотрения.
Помимо документального пакета инспектор проверяет фактическое состояние: наличие политики на сайте, корректность формы согласия при регистрации на порталах организации, наличие уведомлений о файлах cookie, соответствие договоров с подрядчиками требованиям к поручению обработки по п. 3 ст. 6 ФЗ-152.
Отдельное внимание уделяется обработке ПДн несовершеннолетних. По общему правилу ст. 9 ФЗ-152 согласие от имени несовершеннолетнего до 18 лет даёт родитель или законный представитель. Для студентов старше 14 лет правоприменительная позиция неоднородна: часть регуляторных рекомендаций допускает самостоятельное согласие с 14 лет для целей образовательного процесса, но безопаснее получить согласие от родителей дополнительно — особенно при передаче данных третьим лицам.
Три сценария проверки: ситуация, риски, стратегия
Сценарий 1. Внеплановая проверка по жалобе бывшего студента. Субъект направил в РКН жалобу на отказ ВУЗа уничтожить его персональные данные после окончания обучения. Юридически это сложная ситуация: ст. 21 ФЗ-152 обязывает оператора уничтожить ПДн при достижении целей обработки, однако для образовательных организаций действуют специальные сроки хранения документов по приказам Минобрнауки и Росархива — личное дело студента может храниться десятки лет. Стратегия: подготовить правовое обоснование отказа в уничтожении со ссылкой на конкретные нормы хранения; направить субъекту мотивированный ответ в течение 10 рабочих дней; приложить ответ к материалам проверки как доказательство правомерности отказа. Вероятный исход при наличии обоснования: предписание не выдаётся.
Сценарий 2. Плановая проверка федерального университета с выявленным несоответствием реестра. В ходе документарной проверки инспектор устанавливает, что в реестре операторов не отражена обработка биометрических данных через СКУД (распознавание лиц на входе в корпуса). Обработка биометрии без надлежащего уведомления и без письменного согласия по ст. 11 ФЗ-152 — самостоятельное нарушение. По ч. 16 ст. 13.11 КоАП штраф для юрлица может составить значительную сумму. Стратегия: до проверки провести аудит всех систем обработки и актуализировать запись в реестре; переоформить согласия сотрудников и студентов на биометрическую идентификацию как отдельные документы. Признание нарушения и принятие мер — смягчающие обстоятельства по ст. 4.2 КоАП.
Сценарий 3. Утечка базы данных научного центра с последующим расследованием РКН. Хакерская атака на сервер научного центра привела к утечке данных сотрудников и грантополучателей — около 15 000 субъектов. По ч. 3.1 ст. 21 ФЗ-152 оператор обязан уведомить РКН в течение 24 часов, через 72 часа — направить отчёт по приказу РКН №187. Нарушение этих сроков — штраф 1–3 млн ₽ по ч. 11 ст. 13.11 КоАП. Утечка 15 000 субъектов при повторном инциденте квалифицируется по ч. 13 ст. 13.11 (5–10 млн ₽). Стратегия: немедленно активировать план реагирования на инциденты, зафиксировать время обнаружения, направить первичное уведомление до истечения 24 часов — даже при неполных данных об инциденте.
Если юрист ВУЗа обнаружил признаки утечки или получил запрос РКН — 24 часа на первичное уведомление не восстанавливаются. Юристы DATUM сопровождают реагирование и взаимодействие с регулятором.
Защитить от штрафа 13.11Как это применяется на практике
Кейс 1. Региональный университет (Приволжский ФО, осень 2025) получил уведомление о плановой проверке РКН. Юридическая служба организации обратилась за сопровождением за три недели до начала мероприятия. Аудит показал: политика обработки ПДн не обновлялась с 2021 года, согласия работников были включены в трудовые договоры (нарушение требований ст. 9 ФЗ-152 в редакции с 01.09.2025), договоры с IT-подрядчиками не содержали обязательных условий поручения обработки. За три недели был подготовлен актуализированный пакет ОРД, оформлены отдельные согласия, в реестр внесены изменения. По итогам проверки РКН выдал предписание об устранении трёх технических замечаний без назначения административного штрафа.
Кейс 2. Научная организация (Уральский ФО, начало 2026) получила протокол по ч. 10 ст. 13.11 КоАП в связи с отсутствием актуального уведомления в реестре операторов: в реестре отсутствовали сведения о трансграничной передаче данных иностранным партнёрам по грантовым соглашениям. Штраф для юрлица по ч. 10 — от 100 000 до 300 000 ₽. В ходе рассмотрения дела юристы представили доказательства принятых мер — направленное уведомление об изменении сведений и оформленные соглашения с иностранными партнёрами по ст. 12 ФЗ-152. Штраф был назначен в минимальном размере с учётом смягчающих обстоятельств по ст. 4.2 КоАП.
Можно ли обжаловать предписание или постановление РКН?
Постановление РКН о назначении административного штрафа обжалуется в судебном порядке. После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП снова рассматривают мировые судьи. Апелляция подаётся в районный суд. Предписание об устранении нарушений обжалуется в арбитражном суде или суде общей юрисдикции в зависимости от статуса организации: государственные ВУЗы и государственные научные центры — суд общей юрисдикции; автономные некоммерческие организации и частные учреждения — возможен арбитражный суд при наличии экономического спора.
При обжаловании постановления о штрафе ключевые аргументы: наличие смягчающих обстоятельств по ст. 4.2 КоАП (устранение нарушения до рассмотрения дела, оказание содействия проверяющим, первичность нарушения); возможность замены штрафа предупреждением по ст. 4.1.1 КоАП для организаций, соответствующих критериям малого предприятия; ошибки в оформлении протокола или постановления, нарушающие права привлекаемого к ответственности. Срок обжалования постановления — 10 суток с момента вручения или получения копии (ст. 30.3 КоАП).
Невыполнение предписания РКН в установленный срок — самостоятельное нарушение. По общим нормам КоАП невыполнение законного предписания органа государственного контроля влечёт административную ответственность. При этом срок устранения нарушений, указанный в предписании, может быть продлён по мотивированному ходатайству оператора — практика РКН допускает такие запросы при подтверждении принятых мер.
Услуги DATUM по теме
- Сопровождение проверок РКН — подготовка, представительство, обжалование предписаний
- Аудит соответствия 152-ФЗ — выявление нарушений до прихода инспектора
- Защита при штрафе в арбитраже — обжалование постановлений по ст. 13.11 КоАП
Частые вопросы
1. Как подготовиться к проверке РКН?
За 4–6 недель до проверки проведите внутренний аудит: сверьте запись в реестре операторов с фактическим объёмом обработки (все системы, все категории субъектов, все основания передачи третьим лицам), актуализируйте политику обработки ПДн под требования ст. 18.1 ФЗ-152, переоформите согласия сотрудников и студентов как отдельные документы по ст. 9 ФЗ-152 в редакции с 01.09.2025, проверьте договоры с IT-подрядчиками на наличие условий поручения обработки по п. 3 ст. 6 ФЗ-152.
2. Какие индикаторы риска у РКН?
Для ВУЗов основные индикаторы риска: несоответствие записи в реестре операторов фактическому объёму обработки (прежде всего — необновлённые записи), отсутствие политики обработки ПДн на официальном сайте или её несоответствие требованиям ч. 2 ст. 18.1 ФЗ-152, жалобы субъектов на нарушение сроков ответа по ст. 20 ФЗ-152 (10 рабочих дней), факт утечки ПДн в предшествующие два года, а также публично доступные базы данных с ПДн субъектов без правового основания.
3. Можно ли отказаться отвечать на запрос РКН?
Нет. Оператор обязан исполнить запрос РКН в установленный срок — как правило, 10 рабочих дней с даты получения требования. Непредставление документов или ненадлежащее исполнение запроса фиксируется в акте проверки и может квалифицироваться как воспрепятствование проведению контрольного мероприятия по нормам КоАП. Если запрос сформулирован некорректно или выходит за рамки предмета проверки — можно направить мотивированный ответ с указанием на несоответствие, но полностью игнорировать нельзя.
4. Что грозит за невыполнение предписания РКН?
Невыполнение предписания в установленный срок влечёт самостоятельную административную ответственность по нормам КоАП о неисполнении законного предписания органа государственного контроля. Кроме того, неустранённое нарушение может стать основанием для повторной проверки и назначения штрафа уже по основному составу ст. 13.11 КоАП — с учётом повторности, что влечёт применение квалифицированных частей с более высокими санкциями. Для снижения риска следует своевременно запрашивать продление срока при обоснованной невозможности исполнить предписание в первоначальный срок.
5. Куда обжаловать постановление РКН?
После ФЗ-508 от 28.12.2025 дела по ст. 13.11 КоАП рассматривают мировые судьи. Постановление мирового судьи обжалуется в районный суд в течение 10 суток с момента получения копии (ст. 30.3 КоАП). Далее — в региональный суд в порядке надзора. Для государственных образовательных организаций обжалование предписания РКН как ненормативного правового акта возможно в порядке административного судопроизводства по КАС РФ.
Итог
Проверки РКН в ВУЗах и научных организациях — не исключение, а закономерность: объём и состав обрабатываемых ПДн, наличие несовершеннолетних субъектов и специальных категорий данных, активное использование внешних IT-платформ делают образовательные организации приоритетным объектом для регулятора. С 30.05.2025 штрафы по ст. 13.11 КоАП существенно выросли: за утечку данных 10 000–100 000 субъектов — от 5 до 10 млн ₽, за повторный инцидент — оборотный штраф до 500 млн ₽.
Практика DATUM включает сопровождение проверок РКН в организациях образовательной сферы: от предпроверочного аудита и актуализации ОРД до представительства в ходе мероприятия и обжалования постановлений о штрафах.
4 ноября 2027 года