аналитика 19 февраля 2027 По состоянию на 19 февраля 2027

Защита онлайн-школы от штрафа

Онлайн-школа обрабатывает ПДн учеников, их родителей и педагогов — и попадает под все требования 152-ФЗ, включая нормы о спецкатегориях и данных несовершеннолетних.

С 30.05.2025 штраф за утечку ПДн от 1 000 субъектов начинается от 3 млн ₽ по ч. 12 ст. 13.11 КоАП; при повторном нарушении — оборотный штраф до 500 млн ₽ по ч. 15.

→ Если вы юрист онлайн-школы и не уверены, что документы и процессы соответствуют 152-ФЗ в редакции 2025 года, — читайте дальше.

Образовательные организации в цифровой среде обрабатывают данные учеников, родителей и преподавателей через LMS-платформы, прокторинг-сервисы, чат-боты и сторонние конструкторы курсов. Роскомнадзор с 2024 года включил EdTech в число приоритетных отраслей для плановых и внеплановых проверок. Для юриста онлайн-школы это означает конкретный риск: протокол по ст. 13.11 КоАП может появиться после жалобы родителя, утечки через подрядчика или автоматического мониторинга сайта РКН. Ниже — структура рисков, нормы и практические меры защиты.

Почему онлайн-школа попадает под особый контроль РКН?

Онлайн-школа в большинстве случаев обрабатывает ПДн несовершеннолетних. Согласно ст. 9 ФЗ-152, обработка данных ребёнка до 18 лет требует согласия законного представителя — родителя или опекуна. С 01.09.2025 это согласие оформляется отдельным документом, не объединённым с договором оферты или правилами использования платформы (ФЗ-156 от 24.06.2025). Старые формы, в которых согласие было вписано в пользовательское соглашение, с этой даты не соответствуют закону.

Помимо этого, онлайн-школа нередко передаёт данные третьим лицам: платёжным системам, сервисам рассылок, платформам видеосвязи, прокторинг-провайдерам. Каждая такая передача требует либо отдельного основания по ст. 6 ФЗ-152, либо договора поручения с обработчиком по п. 3 ст. 6. Отсутствие такого договора — основание для штрафа по ч. 1 ст. 13.11 в размере 150 000–300 000 ₽.

Отдельный риск — использование зарубежных сервисов: Google Classroom, Zoom, иностранных LMS. По ч. 5 ст. 18 ФЗ-152 первичный сбор, систематизация и хранение ПДн граждан России должны происходить в базах, расположенных на территории РФ. Передача данных за рубеж без уведомления РКН по ст. 12 ФЗ-152 квалифицируется как нарушение требований локализации — штраф по ч. 8 ст. 13.11 КоАП составляет 1–6 млн ₽.

«Ст. 9 ФЗ-152 (в ред. ФЗ-156 от 24.06.2025): с 01.09.2025 согласие на обработку ПДн оформляется отдельным документом и не может быть совмещено с договором, офертой или иным документом. Ч. 8 ст. 13.11 КоАП: нарушение требований локализации — штраф для юрлица 1 000 000–6 000 000 ₽.»

Согласия родителей ещё в договоре оферты?

Если юрист онлайн-школы не переработал форму согласия после 01.09.2025, каждый документ — потенциальный повод для штрафа по ч. 2 ст. 13.11 КоАП (300 000–700 000 ₽ за нарушение требований к составу согласия). Срок на переход уже истёк — каждый день промедления увеличивает риск.

Юристы DATUM проведут аудит документов по чек-листу из 38 пунктов и выдадут готовый пакет согласий, соответствующих ФЗ-156.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — автоматизированный контроль за учеником во время экзамена или теста: запись видео с веб-камеры, скриншоты экрана, фиксация нажатий клавиш. С правовой точки зрения это обработка биометрических ПДн (изображение лица) и, в ряде случаев, специальных категорий (состояние здоровья, если фиксируется поведение, указывающее на психофизиологические особенности).

По ст. 11 ФЗ-152 обработка биометрических ПДн допускается только при наличии письменного согласия субъекта. Для несовершеннолетнего ученика — согласия родителя, оформленного отдельным документом. Согласие должно содержать перечень конкретных действий: запись видео, передача данных прокторинг-провайдеру, срок хранения записей.

Если прокторинг-сервис расположен за рубежом, онлайн-школа обязана до начала передачи данных уведомить РКН по ст. 12 ФЗ-152. Отсутствие такого уведомления — нарушение, которое РКН выявляет при проверке публично доступных сведений о платформе и условиях обработки. Штраф по ч. 8 ст. 13.11 КоАП — от 1 млн ₽.

«Ст. 11 ФЗ-152: обработка биометрических ПДн (изображение лица) — только при письменном согласии субъекта или его законного представителя. Ст. 12 ФЗ-152: трансграничная передача ПДн в страны без адекватной защиты — только после уведомления РКН.»

Какие документы защищают онлайн-школу при проверке РКН?

При плановой или внеплановой проверке инспектор РКН запрашивает организационно-распорядительную документацию (ОРД). Её отсутствие или несоответствие требованиям — основание для протокола по ч. 3 ст. 13.11 КоАП (30 000–60 000 ₽ за отсутствие политики) или ч. 1 (150 000–300 000 ₽ за обработку без надлежащих оснований).

Ключевые документы для образовательной организации, работающей онлайн:

Политика обработки персональных данных с обязательными разделами по ч. 2 ст. 18.1 ФЗ-152 — опубликована на сайте.
Отдельные согласия на обработку ПДн учеников (для несовершеннолетних — от родителей) в соответствии с ФЗ-156 от 24.06.2025.
Согласия на распространение ПДн (публикация фото, видеоотзывов) по ст. 10.1 ФЗ-152 — отдельный документ.
Согласия на обработку биометрических ПДн при использовании прокторинга — письменная форма по ст. 11 ФЗ-152.
Договоры поручения обработки с каждым подрядчиком, которому передаются ПДн: платёжный агрегатор, LMS-платформа, сервис рассылок, прокторинг-провайдер.
Приказ о назначении ответственного за обработку ПДн по ст. 22.1 ФЗ-152.
Уведомление в реестре РКН (pd.rkn.gov.ru) с актуальными сведениями об обработке.
Регламент реагирования на утечки с процедурой уведомления РКН за 24 часа по ч. 3.1 ст. 21 ФЗ-152.

Что проверить до прихода инспектора РКН

Политика конфиденциальности опубликована на сайте и датирована не ранее 01.09.2025.
Согласия родителей на обработку ПДн несовершеннолетних — отдельные документы, не вшиты в договор.
Для каждого зарубежного сервиса (прокторинг, LMS, рассылки) подано уведомление о трансграничной передаче в РКН.
Подрядчики, получающие ПДн учеников, работают по договору поручения обработки с перечнем разрешённых действий.
Уведомление в реестре РКН отражает все фактически обрабатываемые категории ПДн и цели.

Если юрист онлайн-школы получил запрос РКН или уведомление о внеплановой проверке — у вас, как правило, не более 10 рабочих дней на подготовку документов. Юристы DATUM соберут полный пакет ОРД и представят интересы на проверке.

Подготовиться к проверке РКН

Типовые ситуации: как квалифицирует нарушение РКН

Ситуация 1. Согласие родителя — в тексте договора. Онлайн-школа включила согласие на обработку ПДн ребёнка в пользовательское соглашение, которое родитель принимает галочкой при регистрации. После 01.09.2025 такая конструкция нарушает ст. 9 ФЗ-152 в редакции ФЗ-156: согласие должно быть отдельным документом с перечнем конкретных ПДн и действий. РКН при проверке сайта фиксирует нарушение автоматически. Вероятный исход — протокол по ч. 2 ст. 13.11 КоАП, штраф для юрлица 300 000–700 000 ₽. Стратегия: немедленно переработать форму согласия, разместить отдельным документом, уведомить РКН об устранении нарушения до составления протокола.

Ситуация 2. Прокторинг через иностранный сервис без уведомления РКН. Онлайн-школа использует зарубежный прокторинг-сервис, передавая видеозаписи и скриншоты учеников на серверы в ЕС. Уведомление о трансграничной передаче в РКН не подано. Данные содержат биометрию (изображения лиц). Инспектор выявляет нарушение ч. 5 ст. 18 ФЗ-152 (локализация) и ст. 12 ФЗ-152 (трансграничная передача без уведомления). Вероятный исход — два протокола: по ч. 8 ст. 13.11 (1–6 млн ₽) и по ч. 16 ст. 13.11 (нарушение требований обработки биометрии). Стратегия: перейти на российский прокторинг-сервис или подать уведомление о трансграничной передаче, заключить договор поручения с иностранным обработчиком.

Ситуация 3. Утечка базы учеников через взлом CRM. Хакер получил доступ к CRM-системе онлайн-школы и скачал базу с ФИО, email и телефонами 12 000 учеников и их родителей. Школа обнаружила инцидент через 2 дня. По ч. 3.1 ст. 21 ФЗ-152 первичное уведомление РКН подаётся в течение 24 часов с момента обнаружения — срок уже пропущен. Вероятный исход — штраф по ч. 11 ст. 13.11 КоАП (неуведомление в срок, 1–3 млн ₽) и по ч. 13 ст. 13.11 (утечка 10 000–100 000 субъектов, 5–10 млн ₽). Стратегия: немедленно подать запоздалое первичное уведомление, подготовить 72-часовой отчёт по Приказу РКН №187, задокументировать принятые меры защиты для применения смягчающих обстоятельств в суде.

Как суды рассматривают дела по 152-ФЗ в EdTech в 2025–2026 годах?

Кейс 1. Образовательная платформа (Приволжский ФО, осень 2025) использовала зарубежный сервис email-рассылок, передавая адреса подписчиков-учеников на серверы вне России. Уведомление о трансграничной передаче в РКН отсутствовало. Мировой суд района назначил штраф в диапазоне нескольких сотен тысяч рублей по ч. 1 ст. 13.11 КоАП. Платформа оспорила постановление, представив доказательства начала процесса перехода на российский сервис — суд применил смягчающие обстоятельства по ст. 4.2 КоАП. Итог: штраф снижен до минимального предела.

Кейс 2 (из реестра практики). В деле о первых штрафах по новым нормам ст. 13.11 КоАП (первый квартал 2026 года) арбитражный суд применил ч. 14 ст. 13.11 к организации с утечкой более 100 000 субъектов, однако назначил существенно сниженный штраф с учётом статуса микропредприятия и норм ч. 1 ст. 4.1.2 КоАП. Аналогичный подход применим и к онлайн-школе, если она зарегистрирована как микропредприятие или МСП. Стратегия защиты юриста: зафиксировать статус в реестре МСП, собрать доказательства принятых мер защиты, подготовить ходатайство о смягчении на основании ст. 4.1 КоАП.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документов и процессов онлайн-школы по 38 пунктам
Комплект ОРД под ключ — полный пакет документов с учётом специфики EdTech
DPO-аутсорсинг — ответственный за обработку ПДн на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие законного представителя (родителя или опекуна) требуется при любой обработке ПДн несовершеннолетнего, если обработка не основана на законе напрямую (например, исполнение договора с самим учеником старше 14 лет в пределах его дееспособности). С 01.09.2025 согласие оформляется отдельным документом по ст. 9 ФЗ-152 в редакции ФЗ-156 и должно содержать перечень ПДн, цель, перечень действий и срок. Совмещение с договором оферты или правилами платформы недопустимо.

2. Можно ли использовать Google Classroom в онлайн-школе?

Формально — только при соблюдении ч. 5 ст. 18 ФЗ-152: первичный сбор и хранение ПДн российских учеников должны происходить в базах на территории РФ. Если Google Classroom используется как основная LMS и данные учеников попадают на серверы Google за рубежом без соблюдения требований о локализации и без уведомления РКН о трансграничной передаче, это нарушение ч. 8 ст. 13.11 КоАП (штраф 1–6 млн ₽). Безопасный вариант — российская LMS с хранением данных в РФ или гибридная схема с подтверждённой локализацией.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — обработка биометрических ПДн (видеозапись лица ученика) и иных данных, собранных в ходе контроля за экзаменом. По ст. 11 ФЗ-152 это требует письменного согласия субъекта — для несовершеннолетнего согласие даёт родитель. Согласие должно прямо называть прокторинг как вид обработки и указывать конкретный прокторинг-сервис как получателя данных. Если сервис иностранный — обязательно уведомление РКН о трансграничной передаче по ст. 12 ФЗ-152.

4. Кто является оператором ПДн в онлайн-школе?

Оператором является юридическое лицо или ИП, которое самостоятельно или совместно с другими лицами организует обработку ПДн и определяет её цели и состав — ст. 3 ФЗ-152. В онлайн-школе это, как правило, само юридическое лицо школы. Подрядчики (LMS-платформа, прокторинг-сервис, агрегатор платежей) — обработчики по поручению, если с ними заключён договор по п. 3 ст. 6 ФЗ-152. При отсутствии договора поручения подрядчик де-факто становится самостоятельным оператором, что нарушает условия передачи ПДн.

5. Что грозит онлайн-школе за утечку базы учеников?

Размер ответственности зависит от числа затронутых субъектов: от 1 000 до 10 000 — штраф 3–5 млн ₽ по ч. 12 ст. 13.11 КоАП; от 10 000 до 100 000 — 5–10 млн ₽ по ч. 13; свыше 100 000 — 10–15 млн ₽ по ч. 14. Дополнительно: штраф 1–3 млн ₽ за неуведомление РКН в течение 24 часов по ч. 11 ст. 13.11. При повторной утечке — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽ и не более 500 млн ₽.

Итог

Онлайн-школа — оператор ПДн с повышенными рисками: данные несовершеннолетних, биометрия при прокторинге, зарубежные сервисы в инфраструктуре и десятки подрядчиков, которым передаются данные учеников. Каждый из этих факторов — отдельный состав нарушения по ст. 13.11 КоАП с суммарными штрафами от нескольких сотен тысяч до десятков миллионов рублей.

Практика DATUM в сфере EdTech охватывает аудит образовательных платформ, разработку пакета ОРД с учётом специфики работы с несовершеннолетними, сопровождение проверок РКН и защиту в арбитраже по ст. 13.11 КоАП.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech и 152-ФЗ.

19 февраля 2027 года