аналитика 14 мая 2027 По состоянию на 14 мая 2027

Защита вуза от штрафа

Образовательная организация — оператор персональных данных студентов, абитуриентов, сотрудников и родителей несовершеннолетних. За нарушения ст. 13.11 КоАП в редакции с 30.05.2025 вуз платит от 150 тыс. до 15 млн ₽ по одному эпизоду.

Роскомнадзор проводит как плановые, так и внеплановые проверки вузов. Типовые нарушения: устаревшие согласия, отсутствие отдельного согласия на распространение ПДн, прокторинг без надлежащего правового основания, передача данных через зарубежные платформы.

Если вы юрист вуза или университета и готовитесь к проверке РКН — ниже разобраны нормы, типовые нарушения и стратегия защиты. → Оценить риски по 152-ФЗ

С 30.05.2025 действуют 18 частей ст. 13.11 КоАП в редакции ФЗ-420. Для образовательных организаций санкции за обработку ПДн несовершеннолетних по специальным категориям, нарушение согласий и утечку данных существенно возросли. Вузы, которые не привели документацию в соответствие, становятся приоритетной аудиторией для проверок РКН по отраслевому индикатору риска.

Какие нормы 152-ФЗ обязателен знать юрист вуза?

Образовательная организация обрабатывает персональные данные на нескольких правовых основаниях одновременно. Исполнение публичных обязанностей (ст. 6 ч. 1 п. 2 ФЗ-152) покрывает взаимодействие с государственными информационными системами — ФГИС «Моя школа», ЕГИСЗ, реестры ЕГЭ. Договор об образовательных услугах (ст. 6 ч. 1 п. 5) покрывает обработку в рамках самого обучения. Согласие (ст. 9) требуется там, где ни договор, ни закон не дают достаточного основания: фотосъёмка на мероприятиях, размещение данных на сайте, рассылки, биометрия в СКУД.

С 01.09.2025 вступил в силу ФЗ-156: согласие на обработку ПДн оформляется отдельным документом и не может быть включено в тело договора, оферты или правил внутреннего распорядка. Для вуза это означает необходимость пересмотра всех форм — от заявлений абитуриентов до анкет при зачислении.

«Ст. 9 ФЗ-152 в редакции ФЗ-156 от 24.06.2025 — согласие оформляется отдельным документом. Обязательные реквизиты: ФИО субъекта, наименование оператора, цель обработки, перечень данных, перечень действий, срок действия, способ отзыва.»

Особое значение имеет ст. 9 ч. 6 ФЗ-152: если субъект не достиг 14 лет, согласие дают родители или законные представители. Это касается кружков, подготовительных курсов, дополнительного образования для детей. При работе с подростками от 14 до 18 лет вуз вправе получать согласие непосредственно от них, однако часть данных (биометрия, специальные категории) требует родительского согласия вне зависимости от возраста.

Данные о состоянии здоровья студентов — медицинские справки, справки об инвалидности, психологические заключения — относятся к специальным категориям ПДн по ст. 10 ФЗ-152. Их обработка допустима только при наличии отдельного согласия либо при исполнении прав и обязанностей в сфере трудовых отношений и социальной защиты (ст. 10 ч. 2 п. 2).

Согласия в вузе включены в договор об обучении?

После 01.09.2025 включение согласия в договор нарушает требования ст. 9 ФЗ-152 в редакции ФЗ-156. Каждое такое согласие может быть квалифицировано как ненадлежащее, что создаёт основание для штрафа по ч. 2 ст. 13.11 КоАП — от 300 тыс. до 700 тыс. ₽. Юристы DATUM проведут аудит текущих форм согласий, выявят нарушения и подготовят пакет документов в соответствии с действующими требованиями.

Заказать аудит 152-ФЗ

Ответим за 2 часа · +7 (983) 510-38-76 · info@vitveteam.ru

Какие нарушения РКН выявляет в образовательных организациях чаще всего?

На основании практики проверок РКН в образовательном секторе юристы выделяют несколько устойчивых нарушений.

Отсутствие или устаревшая политика конфиденциальности. Ст. 18.1 ФЗ-152 обязывает оператора опубликовать документ с описанием целей, правовых оснований, состава обрабатываемых данных, сроков хранения и мер защиты. Отсутствие такого документа — штраф по ч. 3 ст. 13.11 КоАП от 30 тыс. до 60 тыс. ₽. Если документ есть, но не отражает реальную практику обработки, это квалифицируется как нарушение ч. 1 ст. 13.11.

Прокторинг без надлежащего согласия. Онлайн-прокторинг использует видеозапись лица и поведенческий анализ. Запись изображения лица — биометрические персональные данные по ст. 11 ФЗ-152. Обработка биометрии требует отдельного письменного согласия субъекта. Для студентов до 14 лет — согласия родителей. Вузы, подключившие прокторинговые системы без отдельного согласия на биометрию, нарушают ч. 16 ст. 13.11 КоАП.

Использование Google Classroom, Microsoft Teams, Zoom. Передача ПДн студентов и преподавателей на серверы, расположенные за пределами России, — трансграничная передача по ст. 12 ФЗ-152. Если страна размещения серверов не входит в перечень стран с адекватной защитой, оператор обязан уведомить РКН до начала такой передачи. Отсутствие уведомления или уведомление после начала передачи — штраф по ч. 10 ст. 13.11 от 100 тыс. до 300 тыс. ₽. При этом требование локализации по ч. 5 ст. 18 ФЗ-152 означает, что первичный сбор и систематизация ПДн граждан РФ должны происходить на серверах в России.

Отсутствие уведомления в реестре РКН. По ст. 22 ФЗ-152 оператор обязан уведомить РКН о намерении обрабатывать ПДн до начала обработки. Многие вузы либо не подали уведомление, либо подали его давно и не обновили при существенном изменении состава обрабатываемых данных. Неуведомление — ч. 10 ст. 13.11 КоАП.

Дневник.ру и сторонние платформы. Передача данных учеников и студентов сторонним платформам (дневник.ру, учебные порталы) требует поручения на обработку по ст. 6 ч. 3 ФЗ-152: оформленного договора или дополнительного соглашения, в котором прямо указан перечень разрешённых действий, цели и требования к защите. Отсутствие поручения означает, что платформа обрабатывает ПДн без правового основания, а ответственность несёт вуз как оператор.

Что проверить юристу вуза до прихода РКН

Наличие актуального уведомления в реестре операторов ПДн (pd.rkn.gov.ru) с корректным перечнем целей и категорий
Политика конфиденциальности опубликована на официальном сайте и отражает реальную практику обработки, включая прокторинг и сторонние платформы
Согласия оформлены отдельным документом (не вшиты в договор), реквизиты соответствуют ст. 9 ФЗ-152 в редакции ФЗ-156
Согласия родителей получены для субъектов до 14 лет (подготовительные курсы, детские программы)
Договоры-поручения оформлены со всеми платформами, которым передаются ПДн (прокторинг, СДО, дневник.ру)

Чем грозит утечка данных студентов и преподавателей с 30.05.2025?

До 30.05.2025 штраф за утечку любого объёма не превышал 100–200 тыс. ₽. С введением в действие ФЗ-420 санкции за утечку зависят от количества пострадавших субъектов.

Утечка данных от 1 тыс. до 10 тыс. субъектов — штраф по ч. 12 ст. 13.11 КоАП от 3 млн до 5 млн ₽. Утечка от 10 тыс. до 100 тыс. субъектов — ч. 13, от 5 млн до 10 млн ₽. Утечка более 100 тыс. субъектов — ч. 14, от 10 млн до 15 млн ₽. Повторная утечка при уже имеющемся привлечении по ч. 12–14 переводит дело в оборотный состав по ч. 15: 1–3% совокупной выручки за предшествующий год, но не менее 20 млн ₽ и не более 500 млн ₽.

«Ст. 13.11 ч. 14 КоАП (ред. с 30.05.2025) — утечка данных более 100 тыс. субъектов: штраф для юридического лица от 10 млн до 15 млн ₽. При повторности — оборотный штраф по ч. 15: 1–3% годовой выручки, не менее 20 млн ₽.»

Крупный вуз с несколькими факультетами и историей приёма легко обрабатывает данные 100 тыс. человек и более. Одна утечка из системы управления обучением или базы абитуриентов автоматически попадает в диапазон ч. 14 ст. 13.11.

Параллельно с административной ответственностью с 11.12.2024 действует ст. 272.1 УК РФ: незаконное использование, передача, сбор или хранение компьютерной информации с персональными данными. Если к утечке причастен сотрудник вуза — возможно возбуждение уголовного дела. Тяжкие последствия (ч. 5 ст. 272.1) предусматривают лишение свободы до 10 лет.

При обнаружении инцидента вуз обязан уведомить РКН в течение 24 часов с момента обнаружения (ч. 3.1 ст. 21 ФЗ-152) и представить отчёт о результатах внутреннего расследования в течение 72 часов (Приказ РКН №187 от 14.11.2022). Пропуск этих сроков — отдельный штраф по ч. 11 ст. 13.11 от 1 млн до 3 млн ₽ сверх штрафа за саму утечку.

Если юрист вуза получил уведомление о внеплановой проверке РКН — срок на подготовку документации уже идёт. Порядок формирования ОРД, актуализации политики и согласий займёт минимум 5–7 рабочих дней при наличии шаблонов.

Подготовиться к проверке РКН

Как применяются смягчающие обстоятельства при защите вуза в арбитраже?

Ст. 4.1 КоАП предусматривает перечень обстоятельств, снижающих размер штрафа: добровольное устранение нарушения, возмещение ущерба, активное содействие производству по делу. Для вузов значимо и примечание к ст. 4.1 КоАП, введённое ФЗ-420: если оператор инвестировал в информационную безопасность не менее 0,1% совокупной выручки за три предшествующих года, штраф по оборотным составам (ч. 15, ч. 18) снижается до одной десятой минимального размера, но не менее 15 млн ₽ и не более 50 млн ₽.

Ст. 4.1.1 КоАП позволяет заменить штраф предупреждением для субъектов малого и среднего предпринимательства при первичном нарушении и отсутствии имущественного ущерба. Большинство государственных вузов под это основание не подпадают, однако частные образовательные организации и онлайн-школы в статусе МСП могут воспользоваться этим инструментом при работе с протоколом по ч. 1–5 ст. 13.11.

Подсудность дел по ст. 13.11 с 28.12.2025 возвращена мировым судьям (ФЗ-508). Это означает, что вуз получает возможность обжалования в районный суд и далее — что увеличивает процессуальные возможности для защиты.

Типовые сценарии для юриста вуза

Сценарий 1. Прокторинг подключён без биометрического согласия. Ситуация: вуз перешёл на онлайн-сессию, студенты проходят экзамены через платформу с видеонаблюдением. Согласие на обработку биометрии не выделено в отдельный документ — оно включено в пользовательское соглашение с прокторинговым сервисом. Доказательства нарушения: у РКН — выборка студентов, прошедших прокторинг, и отсутствие надлежащих согласий в выгрузке. Вероятный исход: штраф по ч. 16 ст. 13.11 за обработку биометрии без надлежащего согласия. Стратегия: немедленно переоформить согласия, приостановить прокторинг до завершения процедуры, при протоколе — заявить о добровольном устранении нарушения и документировать дату устранения.

Сценарий 2. Утечка базы абитуриентов через уязвимость приёмной комиссии. Ситуация: хакерская атака на систему приёма документов. В базе — ФИО, паспортные данные, адреса, результаты ЕГЭ от 80 тыс. субъектов. Вуз обнаружил факт утечки через 36 часов. Доказательства: логи системы, дамп базы в открытом доступе. Вероятный исход: штраф по ч. 13 ст. 13.11 (5–10 млн ₽) плюс по ч. 11 (1–3 млн ₽) за нарушение срока 24 часов. Стратегия: немедленно после обнаружения направить первичное уведомление в РКН, зафиксировать время обнаружения, через 72 часа представить отчёт о расследовании, провести криминалистический анализ, обратиться за юридической защитой до вынесения постановления.

Сценарий 3. Google Classroom и трансграничная передача данных. Ситуация: факультет использует Google Classroom для размещения учебных материалов и сбора домашних работ студентов. Серверы Google находятся за пределами России, уведомление о трансграничной передаче в РКН не подавалось. Доказательства: публичная страница вуза с инструкцией для студентов, ссылки на classroom.google.com. Вероятный исход: протокол по ч. 10 ст. 13.11 (неуведомление о трансграничной передаче, 100–300 тыс. ₽) и по ч. 8 (нарушение локализации, 1–6 млн ₽), если данные вносились напрямую в зарубежную систему. Стратегия: перевести обработку на российскую платформу, оформить поручение на обработку, подать уведомление о трансграничной передаче, зафиксировать дату перехода как дату устранения нарушения.

Как это применяется на практике

Кейс 1. Образовательная организация в Приволжском ФО (начало 2026 года) прошла плановую проверку РКН. Инспектор выявил: согласия включены в договор об образовательных услугах, политика конфиденциальности не обновлялась с 2021 года, уведомление в реестре не отражало прокторинг как отдельную цель обработки. Юрист организации привлёк внешних консультантов после получения акта проверки. Актуализация документации и подача возражений позволили исключить два из трёх эпизодов из протокола. По оставшемуся — штраф по ч. 3 ст. 13.11 КоАП в нижней части диапазона.

Кейс 2 (по материалам публичных дел, ГАРАНТ.РУ). Организация в сфере образования обработала данные более 100 тыс. субъектов. В ходе инцидента информация стала доступна третьим лицам. Дело рассмотрено арбитражным судом по ч. 14 ст. 13.11 КоАП (штраф для юрлица 10–15 млн ₽). Суд применил правила об исчислении штрафа с учётом статуса организации и назначил санкцию существенно ниже максимума. Ключевую роль сыграло своевременное уведомление РКН в рамках 24/72 часов и документально подтверждённые меры по устранению.

Услуги DATUM по теме

Аудит соответствия 152-ФЗ — проверка документации, согласий, уведомлений вуза
Комплект ОРД под ключ — политика, согласия, приказы, поручения на обработку
DPO-аутсорсинг — ответственный по ст. 22.1 на абонентском обслуживании

Частые вопросы

1. Когда нужно согласие родителей?

Согласие родителей или законных представителей обязательно, если субъекту ПДн не исполнилось 14 лет (ст. 9 ч. 6 ФЗ-152). Это касается подготовительных курсов, кружков, дополнительного образования для детей. Для студентов от 14 до 18 лет согласие на стандартную обработку можно получить от самого субъекта, однако биометрические и специальные категории ПДн в этом возрасте требуют дополнительного согласия родителей. После 18 лет родительское согласие не нужно.

2. Можно ли использовать Google Classroom?

Использование Google Classroom связано с передачей ПДн студентов и преподавателей на серверы за пределами России, что квалифицируется как трансграничная передача по ст. 12 ФЗ-152. Оператор обязан до начала передачи уведомить РКН и убедиться, что первичный сбор данных граждан РФ происходит на российских серверах (ч. 5 ст. 18). На практике это означает необходимость либо перейти на российскую платформу, либо выстроить архитектуру, при которой данные россиян хранятся в России, а в зарубежную систему передаётся только обезличенная информация.

3. Что такое прокторинг с точки зрения 152-ФЗ?

Прокторинговая система, использующая видеозапись лица студента, обрабатывает биометрические персональные данные по ст. 11 ФЗ-152: изображение лица позволяет идентифицировать личность. Это означает, что вуз обязан получить отдельное письменное согласие на обработку биометрии до начала сессии — оно не может быть совмещено с договором об обучении. Нарушение — ч. 16 ст. 13.11 КоАП. Дополнительно: если прокторинговый сервис расположен за рубежом, возникает и вопрос трансграничной передачи биометрии.

4. Кто оператор в онлайн-школе?

Оператором является юридическое лицо или индивидуальный предприниматель, который самостоятельно или совместно с другими определяет цели и средства обработки ПДн (ст. 3 ФЗ-152). В онлайн-школе оператор — сама образовательная организация. Внешние платформы (СДО, системы видеоконференций, прокторинг) действуют как лица, осуществляющие обработку по поручению, и обязаны работать на основании договора-поручения. Ответственность перед субъектом и РКН несёт оператор, а не платформа.

5. Что грозит вузу за утечку?

Санкция зависит от числа пострадавших субъектов. За утечку данных от 1 тыс. до 10 тыс. человек — штраф по ч. 12 ст. 13.11 КоАП от 3 млн до 5 млн ₽; от 10 тыс. до 100 тыс. — по ч. 13, от 5 млн до 10 млн ₽; свыше 100 тыс. — по ч. 14, от 10 млн до 15 млн ₽. Дополнительно — штраф за нарушение сроков уведомления РКН (24 и 72 часа) по ч. 11, от 1 млн до 3 млн ₽. При повторной утечке — оборотный штраф по ч. 15 не менее 20 млн ₽.

Итог

Защита вуза от штрафа по 152-ФЗ складывается из трёх составляющих: актуальная документация (политика, согласия, уведомление в РКН), правильно выстроенные договорные отношения с платформами (поручение на обработку, требования к трансграничной передаче) и готовность к инциденту (регламент 24/72 часов, назначенный ответственный по ст. 22.1). Наличие этих элементов не гарантирует нулевые риски, но существенно снижает вероятность протокола и даёт аргументы для защиты, если протокол уже составлен.

DATUM сопровождает образовательные организации — от аудита документации до представления интересов при проверке РКН и обжалования постановлений по ст. 13.11 КоАП в новой редакции.

ОН

Ольга Нечаева

Аналитик · Медицина и образование

Аналитик DATUM по медицине и образованию. Специализация — ПДн в образовательных организациях: согласия родителей, прокторинг, обработка ПДн несовершеннолетних, EdTech и 152-ФЗ.

14 мая 2027 года