аналитика 14 января 2027 По состоянию на 14 января 2027

Защита школы от штрафа по ч. 1 ст. 13.11

Часть 1 ст. 13.11 КоАП — штраф от 150 000 до 300 000 рублей за обработку ПДн в случаях, не предусмотренных законом, или в целях, несовместимых с заявленными.

Образовательные организации входят в постоянную зону риска: они обрабатывают ПДн несовершеннолетних, работников, родителей — по нескольким основаниям одновременно. Роскомнадзор фиксирует каждое нарушение основания как самостоятельный состав.

Если вы юрист школы или учредитель — разберитесь с основаниями обработки до проверки, а не после получения протокола. →

С 30 мая 2025 года ч. 1 ст. 13.11 КоАП действует в редакции ФЗ-420 от 30.11.2024. Для школы как оператора ПДн это означает: любое отклонение обработки от задекларированных целей или оснований фиксируется как самостоятельное нарушение с отдельным штрафом от 150 000 до 300 000 рублей. Повторное нарушение по ч. 1.1 — от 300 000 до 500 000 рублей. Ниже — анализ типовых оснований, по которым школы получают протоколы, и стратегия защиты.

Что именно нарушает школа по ч. 1 ст. 13.11 — типовые составы

Часть 1 ст. 13.11 охватывает два основных состава. Первый — обработка ПДн при отсутствии правового основания по ст. 6 ФЗ-152. Второй — обработка в целях, несовместимых с теми, ради которых данные собирались.

Для школы характерны следующие нарушения этих составов.

Передача данных учеников сторонним платформам без правового основания. Школа использует Дневник.ру, Google Classroom, сервисы онлайн-тестирования или прокторинга. При передаче ПДн в эти системы требуется либо отдельное согласие по ст. 9 ФЗ-152, либо поручение обработки по ст. 6 с договором, в котором прямо определён перечень операций, цели и обязанности обработчика. Если договор с платформой отсутствует или подписан без раздела о поручении — каждая передача данных квалифицируется как самостоятельное нарушение ч. 1 ст. 13.11.

Использование ПДн родителей для целей, не указанных при сборе. Школа собирает контактные данные родителей для экстренной связи и уведомлений об успеваемости. Позднее те же данные используются для рассылки рекламных акций школьного магазина, уведомлений о платных секциях или предложений от партнёров. Цель обработки расширилась — без уведомления субъектов и без нового основания. РКН квалифицирует это по ч. 1.

Обработка ПДн уволенных сотрудников за пределами установленного срока. Личное дело уволенного педагога по общему правилу хранится 75 лет. Но другие сведения — о дисциплинарных взысканиях, переписка, данные СКУД — хранятся без обоснованного срока и цели. Хранение за пределами цели — нарушение принципа ст. 5 ФЗ-152, которое оформляется протоколом по ч. 1 ст. 13.11.

«Ст. 5 ФЗ-152 — обработка ПДн допустима только в конкретных, заранее определённых и законных целях. Хранение данных за пределами этих целей запрещено. Ст. 6 ФЗ-152 — перечень исчерпывающих оснований обработки: согласие, исполнение договора, исполнение обязанности по закону и ряд иных. Обработка без одного из них — нарушение.»

Как Роскомнадзор выявляет нарушения в образовательных организациях?

Плановые проверки образовательных организаций проводятся по индикаторам риска. С 2023 года РКН публикует перечень индикаторов — среди них: отсутствие в реестре операторов, отсутствие политики конфиденциальности на сайте, жалобы субъектов.

Внеплановые проверки инициируются по трём каналам. Первый — жалоба родителя или педагога. Второй — утечка данных: если сведения о школьниках появились в открытом доступе, РКН запускает проверку автоматически. Третий — мониторинг сайта. Роскомнадзор сканирует сайты образовательных организаций на предмет наличия политики обработки ПДн и формы согласия — отсутствие любого из них фиксируется как индикатор.

Важен процессуальный момент: РКН вправе запросить документы ещё до выхода инспектора на объект. Если школа не представит пакет ОРД в установленный срок — это самостоятельное нарушение.

Получили запрос или уведомление о проверке РКН?

Юрист, получивший уведомление о плановой или внеплановой проверке РКН, располагает ограниченным временем на подготовку пакета документов. Ошибка в перечне оснований обработки на этом этапе становится протоколом по ч. 1 ст. 13.11. Специалисты DATUM проведут аудит обработки ПДн в образовательной организации по чек-листу из 38 пунктов и выдадут отчёт с приоритизированным планом устранения нарушений до визита инспектора.

Заказать аудит 152-ФЗ

+7 (983) 510-38-76 · info@vitveteam.ru · Telegram t.me/vitvetcom

Какие документы снижают риск штрафа по ч. 1 ст. 13.11?

Защита от ч. 1 ст. 13.11 строится на доказательстве наличия правового основания для каждой операции обработки. Это документируется в трёх уровнях.

Первый уровень — политика обработки персональных данных. Документ публикуется на официальном сайте и описывает цели, категории субъектов, категории ПДн, правовые основания, сроки хранения и перечень третьих лиц, которым данные передаются. Отсутствие политики — отдельное нарушение по ч. 3 ст. 13.11, штраф от 30 000 до 60 000 рублей. Несоответствие реальной обработки тому, что написано в политике, — нарушение по ч. 1.

Второй уровень — согласия субъектов. С 1 сентября 2025 года согласие на обработку ПДн оформляется отдельным документом — не встраивается в текст договора, трудового соглашения или оферты (ФЗ-156 от 24.06.2025). Для несовершеннолетних до 14 лет согласие подписывает законный представитель. Применительно к ЕГЭ и ОГЭ — согласие предусмотрено нормативными актами Минпросвещения, но школа как первичный оператор обязана хранить подписанный экземпляр.

Третий уровень — договоры поручения с обработчиками. Каждая платформа, получающая ПДн от школы (Дневник.ру, система прокторинга, облачный сервис журнала), должна быть оформлена как обработчик по п. 3 ст. 6 ФЗ-152. Договор поручения фиксирует перечень операций, запрет на использование данных в собственных целях платформы и обязанность по обеспечению конфиденциальности. Без такого договора передача данных — нарушение ч. 1 ст. 13.11.

Что подготовить юристу школы до проверки РКН

Уведомление о постановке в реестр операторов на pd.rkn.gov.ru — с актуальным перечнем целей и категорий ПДн
Политика обработки ПДн на сайте школы — с разделами по ч. 2 ст. 18.1 ФЗ-152 и перечнем третьих лиц
Отдельные согласия родителей (для детей до 14 лет) и учеников старше 14 лет — в редакции ФЗ-156 (отдельный документ с 01.09.2025)
Договоры поручения с каждой внешней платформой, обрабатывающей ПДн учеников и педагогов
Приказ о назначении ответственного за организацию обработки ПДн по ст. 22.1 ФЗ-152

Прокторинг, ЕГЭ и ПДн несовершеннолетних — где возникает ч. 1 ст. 13.11?

Прокторинг — дистанционный контроль за прохождением тестов и экзаменов — с точки зрения ФЗ-152 является обработкой биометрических данных (изображение лица, запись голоса) и может затрагивать специальные категории ПДн, если в процессе фиксируется состояние здоровья или иные сведения по ст. 10 ФЗ-152.

Согласие на обработку биометрических ПДн по ст. 11 ФЗ-152 требует письменной формы и отдельного документа. Использование прокторинга без надлежащего согласия формирует состав по ч. 2 ст. 13.11 (штраф от 300 000 до 700 000 рублей), а передача видеозаписей на серверы прокторинговой платформы без договора поручения — ещё и по ч. 1.

Применительно к ЕГЭ: федеральная обработка данных в ГИС ЕГЭ осуществляется Рособрнадзором как отдельным оператором. Школа в этой цепочке — источник первичных данных. Её ответственность по ч. 1 ст. 13.11 возникает, если школа передаёт данные без достаточного основания или передаёт сведения, выходящие за рамки установленного перечня (например, медицинские данные о льготных категориях — без отдельного согласия).

Использование Google Classroom и аналогичных зарубежных сервисов с хранением данных на серверах вне России создаёт риск нарушения требования локализации по ч. 5 ст. 18 ФЗ-152. Штраф за первичное нарушение локализации — от 1 000 000 до 6 000 000 рублей по ч. 8 ст. 13.11 КоАП.

Если школа использует прокторинг или зарубежные сервисы для учебного процесса — проверьте наличие договора поручения и согласий до того, как это сделает инспектор РКН. Нарушение по ч. 1 ст. 13.11 фиксируется за каждую платформу отдельно.

Проверить основания обработки

Типовые сценарии и стратегия защиты

Сценарий 1. Плановая проверка: школа в реестре, но политика не обновлялась три года. Ситуация: уведомление в реестре подано в 2021 году, политика конфиденциальности размещена тогда же. С тех пор школа подключила новую систему электронного журнала и сервис видеоконференций, которые в политике не упомянуты. Инспектор фиксирует расхождение. Доказательства нарушения: реальная обработка через платформы без упоминания в политике и без договоров поручения. Вероятный исход: протокол по ч. 1 ст. 13.11 (150 000–300 000 рублей) + предписание. Стратегия защиты: до проверки — обновить уведомление в РКН, политику и заключить договоры с платформами; после протокола — представить суду доказательства устранения и ходатайствовать о замене штрафа на предупреждение по ст. 4.1.1 КоАП (применимо при первичном нарушении для СМП и микропредприятий).

Сценарий 2. Жалоба родителя: школа передала данные ребёнка в коммерческую секцию. Ситуация: директор договорился с соседним спортивным клубом о передаче контактов учеников для информирования о платных секциях. Передача осуществлялась по общей базе без согласия родителей. Доказательства нарушения: факт передачи и отсутствие согласия на распространение. Вероятный исход: протокол по ч. 1 ст. 13.11 + по ч. 1 ст. 10.1 ФЗ-152 (распространение без отдельного согласия). Стратегия защиты: немедленно прекратить передачу, направить уведомление об устранении в РКН, предоставить суду доказательства принятых мер — это влияет на итоговый размер санкции.

Сценарий 3. Внеплановая проверка после утечки данных из системы электронного журнала. Ситуация: база с данными учеников появилась в открытом доступе. РКН инициирует внеплановую проверку. У школы нет приказа об ответственном за обработку, нет регламента реагирования на инциденты, уведомление в РКН об утечке не направлено в 24 часа. Доказательства нарушений: три самостоятельных состава — ч. 1 ст. 13.11 (ненадлежащие основания), ч. 11 ст. 13.11 (неуведомление об утечке, штраф 1 000 000–3 000 000 рублей) и ч. 3 ст. 13.11 (отсутствие или ненадлежащая политика). Стратегия защиты: при получении сигнала об инциденте — немедленно направить первичное уведомление в РКН, через 72 часа — отчёт по Приказу РКН №187. Это разграничивает своевременную реакцию и умышленное бездействие при рассмотрении дел в суде.

Как применяется ст. 4.1.1 КоАП при защите школы

Статья 4.1.1 КоАП позволяет заменить штраф на предупреждение при одновременном выполнении условий: первичность нарушения, отсутствие причинённого имущественного ущерба, статус субъекта малого или микропредприятия, нет угрозы жизни и здоровью.

Для государственных школ применение ст. 4.1.1 ограничено — они не являются субъектами МСП. Для частных образовательных организаций с соответствующим статусом замена возможна при первичном нарушении по ч. 1 ст. 13.11.

Важно: ст. 4.1.1 не применяется к нарушениям по ч. 15 и ч. 18 ст. 13.11 (оборотные составы). По ч. 1 — применима. На практике мировые суды (подсудность восстановлена ФЗ-508 от 28.12.2025) охотнее применяют ст. 4.1.1 при наличии доказательств устранения нарушения до рассмотрения дела.

Дополнительный инструмент — ч. 3.4-2 ст. 4.1 КоАП: при инвестициях в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года штраф по оборотным составам снижается до 1/10 минимального размера (не менее 15 млн рублей, не более 50 млн рублей). Для ч. 1 ст. 13.11 этот механизм не применяется напрямую, но фактически задокументированные расходы на ИБ учитываются судами как смягчающее обстоятельство.

Также при расчёте итогового штрафа суды учитывают характер нарушения, число затронутых субъектов, наличие умысла, принятые меры по устранению. Активная позиция юриста — предоставление доказательств о принятых мерах до или на стадии рассмотрения дела — последовательно снижает размер санкции.

Как это применяется на практике

Кейс 1. Частная образовательная организация (Уральский ФО, начало 2026) подключила сервис онлайн-прокторинга для промежуточной аттестации. Договор с платформой существовал, но не содержал раздела о поручении обработки ПДн. Инспектор РКН при плановой проверке зафиксировал передачу биометрических данных учеников без надлежащего правового основания. Возбуждено дело по ч. 1 ст. 13.11. Юрист организации представил суду заключённый договор поручения (подписан после получения уведомления о проверке), обновлённые согласия родителей и приказ об ответственном. Суд применил ст. 4.1.1 КоАП и вынес предупреждение. Организация имела статус микропредприятия, нарушение — первичное.

Кейс 2. Государственная школа (Сибирский ФО, осень 2025) получила предписание РКН после жалобы родителя на передачу контактных данных семьи в партнёрскую организацию. У школы отсутствовало уведомление в реестре операторов и политика конфиденциальности на сайте. Протокол составлен по ч. 1 и ч. 3 ст. 13.11. Общий штраф — в диапазоне нескольких сотен тысяч рублей. Применение ст. 4.1.1 было невозможно ввиду статуса госучреждения. Выработанная стратегия защиты: последовательное устранение каждого нарушения с документированием и ходатайство о снижении штрафа до минимума по каждому составу с учётом отсутствия умысла.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — анализ оснований обработки ПДн и пакета ОРД школы
Комплект ОРД под ключ — политика, согласия, договоры поручения, приказы
DPO-аутсорсинг — ответственный за обработку ПДн по ст. 22.1 ФЗ-152 на абонементе

Частые вопросы

1. Когда нужно согласие родителей на обработку ПДн ребёнка?

Согласие законного представителя требуется при обработке ПДн несовершеннолетнего до 14 лет по основанию ст. 9 ФЗ-152 — когда иное правовое основание из ст. 6 ФЗ-152 не применяется. С 1 сентября 2025 года согласие оформляется отдельным документом (ФЗ-156 от 24.06.2025): включение в текст договора с родителем или в устав не допускается. Обязательные реквизиты — ФИО субъекта, наименование оператора, цель, перечень ПДн, перечень действий, срок, способ отзыва.

2. Можно ли использовать Google Classroom в школе с точки зрения 152-ФЗ?

Использование возможно при соблюдении двух условий. Первое — наличие договора поручения с оператором платформы, в котором определены цели, перечень операций и запрет использования данных в собственных целях Google. Второе — соблюдение требования локализации по ч. 5 ст. 18 ФЗ-152: первичная запись, систематизация и хранение ПДн граждан РФ должны осуществляться в базах, расположенных на территории России. Хранение данных на зарубежных серверах без российского зеркала создаёт риск по ч. 8 ст. 13.11 КоАП (штраф 1–6 млн рублей).

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинг — это обработка биометрических персональных данных (запись изображения лица, голоса) в ходе дистанционного контроля экзамена. Статья 11 ФЗ-152 требует письменного согласия субъекта на обработку биометрии — отдельного документа, не совмещённого с иными соглашениями. Для несовершеннолетних согласие подписывает законный представитель. Передача видеозаписей на серверы прокторинговой платформы без договора поручения по ст. 6 ФЗ-152 образует состав по ч. 1 ст. 13.11 КоАП.

4. Кто является оператором ПДн в онлайн-школе?

Оператором признаётся лицо, самостоятельно или совместно с другими определяющее цели и содержание обработки ПДн (ст. 3 ФЗ-152). В онлайн-школе оператор — сама образовательная организация. Платформа (LMS, сервис видеоконференций, прокторинг) является обработчиком, если действует строго по инструкциям школы в рамках договора поручения. Если платформа самостоятельно определяет цели использования данных — она становится соопертором, а ответственность распределяется между обеими сторонами. Отсутствие договора поручения означает, что платформа обрабатывает данные без правового основания от имени школы — это нарушение ч. 1 ст. 13.11 для школы как источника передачи.

5. Что грозит школе за утечку ПДн учеников?

Размер штрафа зависит от числа затронутых субъектов. Утечка от 1 000 до 10 000 субъектов — ч. 12 ст. 13.11, штраф 3–5 млн рублей. От 10 000 до 100 000 — ч. 13, 5–10 млн рублей. Более 100 000 субъектов — ч. 14, 10–15 млн рублей. Отдельно штрафуется неуведомление РКН об утечке в течение 24 часов (ч. 11 ст. 13.11, 1–3 млн рублей). Повторная утечка при наличии предыдущего постановления по ч. 12–14 влечёт оборотный штраф по ч. 15 — 1–3% совокупной годовой выручки, не менее 20 млн рублей.

Итог

Часть 1 ст. 13.11 КоАП для образовательной организации — это не абстрактный риск, а последствие конкретных операционных решений: выбора платформ, формата согласий, содержания договоров с подрядчиками. Штраф от 150 000 до 300 000 рублей назначается за каждый самостоятельный состав, и при наличии нескольких платформ без договоров поручения протоколы составляются отдельно по каждой.

DATUM сопровождает образовательные организации в подготовке к проверкам РКН, формировании пакета ОРД под требования ФЗ-152 в редакции 2025 года и защите от штрафов в производстве у мировых судей. Накопленная практика включает школы, EdTech-платформы и центры дополнительного образования.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech, 323-ФЗ × 152-ФЗ.

14 января 2027 года