Персональные данные

Персональные данные в школе: какие документы нужны и что проверяет Роскомнадзор

Q: Можно ли взять одно общее согласие на все виды обработки данных ребёнка?

Формально да, если в одном документе перечислены все цели и категории данных. Но рекомендуется разделять 'необходимые' цели и 'дополнительные' — публикацию фото, передачу в коммерческие системы.

Школа одновременно обрабатывает данные учеников, родителей и сотрудников — три категории субъектов, среди которых есть несовершеннолетние. Это делает образовательные учреждения приоритетным объектом проверок РКН. Разбираем, что нужно привести в порядок и где чаще всего находят нарушения.

📅 Обновлено: май 2026 ⏱ Читать ~10 мин 🏫 Для: директоров, завучей, юристов, IT-специалистов

Содержание

Почему школы — приоритет для РКН
Какие персональные данные обрабатывает школа
Согласие родителей: отдельный документ с 01.09.2025
С какого возраста ребёнок даёт согласие сам
8 обязательных документов для школы
Электронный журнал и LMS: кто оператор
Фото и видео учеников: нужно ли согласие
Обучение сотрудников по 152-ФЗ
Чек-лист проверки РКН: 10 пунктов
Штрафы: суммы и примеры

1. Почему школы — приоритетный объект проверок РКН

Роскомнадзор в своих методических рекомендациях и планах проверок выделяет образовательные учреждения в отдельную группу риска. Причин три, и они накладываются друг на друга.

👧

Несовершеннолетние субъекты

Данные детей до 18 лет требуют согласия законных представителей. Любое нарушение здесь — отягчающее обстоятельство при расчёте штрафа.

👨‍👩‍👧

Три категории одновременно

Школа — один из немногих операторов, где в одном учреждении обрабатываются ПДн учеников, их родителей и сотрудников. Каждая — со своим правовым основанием.

🏥

Специальные категории данных

Сведения о состоянии здоровья ученика (медсправки, ОВЗ, группы здоровья) — это специальная категория ПДн по ст. 10 152-ФЗ, требующая усиленной защиты.

Дополнительно — массовость обработки. Средняя школа на 500 учеников обрабатывает персональные данные более 1 500 человек (ученики + оба родителя) плюс 50–80 сотрудников. Это не малый бизнес с десятком клиентов — это системный оператор, от которого регулятор ожидает соответствующего уровня организации.

Статистика РКН: По итогам плановых проверок 2024 года нарушения в сфере образования зафиксированы в более чем 70% проверенных учреждений. Наиболее частые — отсутствие согласий отдельным документом, устаревшая или отсутствующая политика на сайте, неверное оформление отношений с вендорами электронных журналов.

2. Какие персональные данные обрабатывает школа

Прежде чем выстраивать compliance, нужно понять реальный объём данных. Школа работает с несколькими потоками персональных данных одновременно.

Субъект	Категории данных
Ученики	ФИО, дата рождения, адрес регистрации/проживания, фото, сведения об успеваемости (оценки, характеристики), сведения о здоровье (группа здоровья, ОВЗ, медсправки) спец. категория, СНИЛС (для ОМС, льгот), результаты ВПР/ОГЭ/ЕГЭ
Родители / законные представители	ФИО, телефон, email, адрес, данные паспорта, место работы (для льгот), сведения об опеке/попечительстве
Сотрудники	ФИО, дата рождения, паспорт, ИНН, СНИЛС, трудовая книжка, диплом, медкнижка спец. категория, банковские реквизиты, сведения о судимостях спец. категория

Цифровые системы школы — отдельный фронт риска

Электронный журнал / дневник (Сберкласс, Дневник.ру, ЭПОС, МЭШ) — оценки, посещаемость, переписка учитель–ученик–родитель.
LMS / образовательные платформы (Moodle, Учи.ру, Яндекс.Учебник) — учебные материалы, результаты тестов, прогресс.
Мобильные приложения для родителей — местонахождение ребёнка (СКУД), уведомления о посещении.
Сайт школы — публикация фото, видео, имён учеников в новостях, достижениях, списках победителей.
Системы видеонаблюдения — биометрические данные (изображение лица) спец. категория при использовании распознавания.

Каждая из этих систем — либо самостоятельная обработка данных, либо передача данных третьему лицу (вендору), что требует оформления договора поручения обработки персональных данных. Подробнее об этом — в разделе про электронный журнал.

3. Согласие родителей — отдельный документ с 01.09.2025

С 1 сентября 2025 года вступили в силу изменения в Федеральный закон «Об образовании» и сложившаяся практика РКН по оформлению согласий. Ключевое требование — согласие на обработку персональных данных больше не может быть пунктом в договоре на обучение, анкете или любом ином документе. Это самостоятельный документ.

Что должно быть в согласии родителя по 152-ФЗ

Конкретный перечень данных — не «иные данные», а именно те категории, которые вы обрабатываете (ФИО, дата рождения, фото и т.д.).
Цели обработки — для каждой группы данных отдельно: ведение личного дела, передача в электронный журнал, публикация на сайте (для фото — отдельная строка).
Срок действия согласия — как правило, период обучения + 3 года хранения документов. После окончания срока — уничтожение или запрос нового согласия.
Право отзыва — явно указать, что согласие может быть отозвано в любой момент, и описать процедуру (письменное заявление, куда его подавать).
Подпись — только собственноручная или квалифицированная электронная. Галочка в форме без подтверждения личности не считается.

❌ Так делать нельзя

«Подписывая настоящий договор, я даю согласие на обработку моих персональных данных и данных моего ребёнка в целях исполнения настоящего договора.»

✅ Правильно

Отдельный документ «Согласие на обработку персональных данных» с перечнем конкретных данных, целей, срока, подписью. Для каждого ребёнка — отдельный экземпляр.

Обратите внимание: согласие оформляется на каждого ребёнка отдельно, а не одним документом на всех детей родителя. Подробнее о требованиях к форме согласия читайте в нашем материале «Согласие на обработку персональных данных: как составить правильно».

📋

WCR Consulting готовит формы согласия для школ с учётом требований с 01.09.2025 — отдельный документ, конкретные цели, перечень данных, механизм отзыва.

Подробнее об упаковке для образования →

4. С какого возраста ребёнок даёт согласие сам

Этот вопрос регулярно вызывает споры — особенно в частных и международных школах, работающих одновременно в нескольких правовых системах.

14 152-ФЗ, формально

Гражданский кодекс РФ: ограниченная дееспособность с 14 лет, ряд сделок — самостоятельно. Формально 152-ФЗ не устанавливает отдельного возраста для согласия на ПДн.

18 Практика РКН, РФ

На практике РКН при проверках требует согласие родителей (законных представителей) для всех несовершеннолетних до 18 лет. Позиция регулятора — опираться на общий принцип дееспособности.

13–16 GDPR Art. 8

GDPR устанавливает возраст цифрового согласия в 16 лет (страны ЕС могут снижать до 13). Применимо для международных школ или при обработке данных гражданами ЕС.

Практическая рекомендация: в российских школах — оформляйте согласие через родителей для всех учеников до 18 лет. Это соответствует позиции РКН и исключает риски при проверке. Ученик в возрасте 14–17 лет может дополнительно подписать согласие вместе с родителем — это допустимо, но не заменяет родительское.

Коллизии для международных школ

Если ваша школа работает по иностранной программе, имеет учеников — граждан ЕС или обрабатывает данные через европейские платформы (Google Workspace for Education, Microsoft 365 Education), возникает зона двойного регулирования: 152-ФЗ + GDPR.

Решение: разработать единый пакет документов, покрывающий требования обоих законов. Обычно это возможно без дублирования — правильно составленное согласие по 152-ФЗ + privacy notice в духе GDPR закрывают обе юрисдикции. Подробнее о нашем подходе к международным проектам — на странице образовательного направления.

5. 8 обязательных документов для школы

Документальная база по защите персональных данных в школе — это не один документ, а целый пакет. Вот минимально необходимый состав:

Политика обработки персональных данных Обязательно размещается на сайте школы — доступная ссылка с главной страницы. Должна содержать: цели, правовые основания, перечень данных, третьих лиц, сроки хранения, права субъектов, контакты ответственного. Подробнее о требованиях к политике — в нашем материале о политике ПДн. Ст. 18.1 ч. 2, ст. 22 152-ФЗ

Согласие родителей (форма) Отдельный документ для каждого ребёнка. Отдельные формы для разных целей обработки (ведение личного дела, публикация фото, передача в электронный журнал). Хранится в личном деле ученика весь срок обучения + 3 года. Ст. 9 152-ФЗ, позиция РКН 2025

Приказ об ответственном за организацию обработки ПДн Назначение конкретного сотрудника (обычно — заместитель директора или юрист). Этот человек — первое лицо, с которым общается РКН при проверке. Без приказа — нарушение ч. 1 ст. 22.1. Ст. 22.1 152-ФЗ

Положение об обработке персональных данных (ЛНА) Внутренний нормативный акт — регламент для сотрудников. Включает: перечень обрабатываемых данных, должности с доступом, порядок хранения, уничтожения, ответы на запросы субъектов. Ст. 18.1 152-ФЗ

Уведомление Роскомнадзора Обязательно для школ, которые обрабатывают ПДн сотрудников и учеников. Подаётся через портал РКН онлайн. После изменений 2024 года — уведомление обновляется при существенных изменениях состава обрабатываемых данных. Ст. 22 152-ФЗ

Договоры поручения обработки ПДн с вендорами Со всеми третьими лицами, которым передаются данные: вендор электронного журнала, хостинг сайта, облачные сервисы. Без такого договора передача данных вендору — незаконная передача третьей стороне. Ст. 6 ч. 3, ст. 21 ч. 5 152-ФЗ

Регламент реагирования на инциденты (утечки) С 30.05.2025 уведомление РКН об утечке обязательно — в течение 24 часов. Без заранее прописанной процедуры выдержать срок невозможно. Регламент должен описывать: как обнаруживают, кто уведомляет, что содержит уведомление. Ст. 21 152-ФЗ (ред. 2025)

Программа обучения сотрудников и журнал инструктажа Обучение работников, имеющих доступ к ПДн, — прямая обязанность оператора. Журнал инструктажа с подписями — доказательство выполнения. Без него РКН признаёт обучение непроведённым. П. 6 ч. 1 ст. 18.1 152-ФЗ

Весь пакет документов для школы мы разрабатываем в рамках услуги юридической упаковки. Подробнее об образовательном профиле — на странице для образовательных учреждений.

6. Электронный журнал и LMS: кто оператор и нужен ли договор поручения

Электронный журнал — одна из самых проблемных зон при проверках. Школы нередко считают, что раз данные «хранятся у вендора», ответственность тоже на нём. Это не так.

Кто является оператором ПДн при использовании электронного журнала?

Школа — оператор. Именно школа определяет цели и состав обработки данных учеников и родителей. Вендор (Сберкласс, Дневник.ру, ЭПОС и т.д.) является лицом, осуществляющим обработку по поручению — то есть обработчиком (субпроцессором).

Это означает: школа несёт ответственность за то, что вендор делает с данными. Если вендор допустил утечку — отвечает и вендор, и школа как оператор.

Без договора поручения обработки ПДн передача данных вендору считается незаконной передачей персональных данных третьему лицу — прямое нарушение ч. 3 ст. 6 152-ФЗ.

Вот основные платформы, с которыми работают российские школы, и их статус:

Сберкласс (СберОбразование)Договор поручения в составе пользовательского соглашения — проверьте наличие

Дневник.руПредоставляет типовой договор поручения — убедитесь, что он подписан

ЭПОС.Школа (Минпросвещения)Государственная система — особый режим, но соглашение с оператором всё равно нужно

МЭШ (Москва)Региональная ГИС — действует в рамках государственного задания

Moodle (self-hosted)Если хостинг сторонний — договор поручения с хостером обязателен

Google Workspace / MS 365Data Processing Addendum (DPA) — доступен в консоли администратора, требует активации

⚠️ Вопрос локализации: Ст. 18.1 152-ФЗ требует первичную запись персональных данных граждан РФ в базах данных на территории России. Если вендор электронного журнала хранит данные за рубежом — это нарушение, даже если сам вендор иностранный. Обязательно уточняйте у вендора, где физически хранятся данные.

📄

Договор поручения с вендором электронного журнала — один из самых частых пробелов при проверке РКН. WCR Consulting готовит поручения по ст. 6 152-ФЗ для всех субпроцессоров школы.

Заказать подготовку документов →

7. Фото и видео учеников: нужно ли отдельное согласие

Фотографирование учеников и публикация их изображений — одна из наиболее частых тем жалоб в РКН со стороны родителей. Правило простое: да, нужно отдельное согласие, и оно является отзываемым.

Изображение человека — это персональные данные (биометрические или обычные — зависит от способа обработки). Публикация фото без согласия нарушает одновременно 152-ФЗ и ст. 152.1 Гражданского кодекса.

Где используется изображение	Нужно ли согласие	Форма
Публикация на сайте школы	Да	Письменное согласие родителя; можно включить в общую форму согласия на ПДн отдельным пунктом
Публикация в соцсетях школы (VK, Telegram)	Да	Отдельный пункт или согласие специально для SMM-публикаций
Фото для личного дела ученика (внутри школы)	Да	Покрывается общей формой согласия на обработку ПДн
Съёмка на публичном мероприятии (линейка, спектакль)	Да, если публикуется	Общее согласие на съёмку мероприятий; уведомление о съёмке не заменяет согласие на публикацию
Видеонаблюдение в классах (СКУД)	Да + уведомление	Согласие + видимые таблички об ведении записи
Фото для СМИ, конкурсов, грамот (публичные материалы)	Да	Отдельное согласие с указанием конкретного СМИ или мероприятия
Видео для учебных целей (внутренний LMS, без публикации)	Да	Согласие в рамках общей формы + в договоре поручения с LMS

Что делать, если родитель отозвал согласие на фото

Прекратить публикацию новых фото данного ребёнка немедленно.
Удалить уже опубликованные фото с сайта и соцсетей школы в разумный срок (практика РКН — до 30 дней).
Зафиксировать факт отзыва в журнале обращений субъектов ПДн.
Разъяснить родителю, что фото в архивных изданиях (печатные материалы), которые невозможно изъять, — отдельный правовой вопрос.

Типичное нарушение, которое находит РКН: школа провела торжественную линейку 1 сентября, опубликовала десятки фото в VK и на сайте — без единого согласия на публикацию изображений. Штраф по ст. 13.11 КоАП — от 100 000 рублей, и это только за отсутствие согласия, отдельно — за нарушение ст. 152.1 ГК.

8. Обучение сотрудников: обязанность, а не желание

Пункт 6 ч. 1 ст. 18.1 152-ФЗ прямо обязывает оператора обеспечить обучение работников, непосредственно осуществляющих обработку персональных данных. На практике РКН при проверке запрашивает журнал инструктажа — и его отсутствие автоматически фиксируется как нарушение.

Кого обязательно нужно обучить:

УчителяРаботают с оценками, личными делами, фото, перепиской с родителями

АдминистрацияПриказы, кадровые решения, доступ ко всем категориям данных

БухгалтерияИНН, СНИЛС, банковские реквизиты сотрудников, налоговая отчётность

Приёмная комиссияПервичный сбор данных абитуриентов и родителей

Секретарь / канцелярияОбработка входящих документов с персданными

Охрана, вахтаСистемы СКУД, журналы посещений, видеонаблюдение

IT-специалистДоступ к базам данных, серверам, электронному журналу

МедработникМедицинские данные — специальная категория, максимальный риск

Что должно быть оформлено

Программа обучения — утверждённый документ с темами, объёмом часов, формой контроля. Достаточно 2–4 часов для первичного инструктажа.
Журнал инструктажа — с датой, ФИО сотрудника, темой, подписью. Хранится весь период работы сотрудника + 3 года после увольнения.
Периодичность — первичный инструктаж при приёме на работу, повторный — раз в год или при существенных изменениях законодательства.
Ознакомление с ЛНА — каждый сотрудник должен расписаться в ознакомлении с Положением об обработке ПДн.
Проверка знаний — необязательна, но желательна: тест или устный опрос с отметкой в журнале.

9. Что проверяет РКН при проверке школы: 10 пунктов

РКН при плановой или внеплановой проверке образовательного учреждения запрашивает стандартный перечень документов и проверяет выполнение организационных мер. Вот что проверяют в первую очередь:

Политика обработки ПДн на сайтеНаличие, актуальность, доступность — ссылка с главной страницы. Проверяется онлайн ещё до выезда на место.

Согласия субъектовНаличие письменных согласий родителей для каждого ученика. Соответствие формы требованиям ст. 9 152-ФЗ.

Уведомление РКНФакт подачи, актуальность данных в реестре операторов. Несоответствие реального состава данных уведомлению — отдельное нарушение.

Приказ об ответственном за организацию обработки ПДнКонкретное лицо с актуальными должностными обязанностями по ПДн.

Локальные нормативные акты (ЛНА)Положение об обработке ПДн, инструкции для сотрудников — наличие, актуальность, ознакомление.

Локализация данныхПодтверждение, что первичная запись ПДн граждан РФ производится в базах данных на территории России.

Договоры поручения с обработчикамиНаличие подписанных договоров поручения обработки ПДн со всеми вендорами: электронный журнал, хостинг, облачные сервисы.

Обучение сотрудниковПрограмма обучения и журнал инструктажа с подписями — для всего персонала, имеющего доступ к ПДн.

Модель угроз и технические меры защитыДокумент об актуальных угрозах безопасности ПДн, соответствующий уровень защищённости (УЗ-3 для большинства школ).

Журнал учёта обращений субъектов ПДнФиксация всех запросов от родителей/учеников/сотрудников — на доступ, исправление, удаление — и ответов на них.

Важно: РКН имеет право на внеплановую проверку при поступлении жалобы от субъекта ПДн (родителя, ученика старше 14 лет, сотрудника). Жалоба подаётся через госуслуги — это занимает 5 минут. Поэтому compliance нельзя откладывать до плановой проверки: она может прийти в любой момент.

🔍

Не уверены, что школа пройдёт проверку? WCR Consulting проводит аудит на соответствие 152-ФЗ и готовит полный пакет: от политики до модели угроз.

Заказать аудит → Все документы для РФ →

10. Штрафы за нарушения — суммы и их значение для школы

Санкции за нарушения в сфере персональных данных существенно выросли в 2024–2025 годах. Для школы — особенно частной — это может быть финансово катастрофичным.

Нарушение	Статья КоАП	Штраф
Отсутствие политики обработки ПДн на сайте или её несоответствие требованиям	Ст. 13.11 ч. 1	До 100 000 ₽
Обработка ПДн без согласия субъекта или с нарушением требований к согласию	Ст. 13.11 ч. 2	До 700 000 ₽
Обработка специальных категорий ПДн (здоровье) без надлежащего основания	Ст. 13.11 ч. 2.1	До 1 500 000 ₽
Непредоставление субъекту информации об обработке его данных	Ст. 13.11 ч. 4	До 40 000 ₽
Отказ уничтожить ПДн по требованию субъекта	Ст. 13.11 ч. 6	До 500 000 ₽
Нарушение требований к локализации данных	Ст. 13.11 ч. 8	До 6 000 000 ₽ (повторно — до 18 000 000 ₽)
Необеспечение уведомления РКН об утечке	Ст. 13.11 ч. 3	До 3 000 000 ₽

⚠️ Оборотные штрафы за утечки с 30.05.2025

Федеральный закон № 421-ФЗ, вступивший в силу 30 мая 2025 года, ввёл оборотные штрафы за утечки персональных данных — до 500 000 000 рублей (500 млн) при масштабных инцидентах.

Для государственной школы с бюджетным финансированием это означает риск для самого существования учреждения. Для частной — банкротство. Возможность уголовной ответственности должностных лиц также закреплена в поправках.

Именно поэтому превентивная работа — составление документов, обучение сотрудников, настройка процессов — несопоставимо дешевле последствий. Полный обзор требований 152-ФЗ применительно к образованию — на нашей странице «Россия / 152-ФЗ».

Часто задаваемые вопросы

Обязана ли муниципальная (государственная) школа соблюдать 152-ФЗ?

Да, без исключений. 152-ФЗ распространяется на всех операторов персональных данных — коммерческих, некоммерческих, государственных и муниципальных. Тип учреждения влияет только на размер штрафа (для должностных лиц государственных учреждений — своя шкала), но не на наличие обязанностей.

Можно ли взять одно общее согласие на все виды обработки данных ребёнка?

Формально — да, если в одном документе перечислены все цели и категории данных. Но на практике РКН рекомендует разделять согласие на «необходимые» цели (ведение личного дела, обязательная отчётность) и «дополнительные» (публикация фото, передача в коммерческие системы). Это позволяет родителю отказаться от части обработок, не влияя на зачисление ребёнка.

Нужно ли получать новые согласия, если старые подписаны до 01.09.2025?

Зависит от содержания. Если старые согласия соответствуют требованиям ст. 9 152-ФЗ (отдельный документ, конкретные цели, перечень данных, срок, право отзыва) — их переоформлять не нужно. Если это был пункт в договоре или анкете — необходимо заменить на отдельные формы. РКН при проверке смотрит на содержание, а не на дату подписания.

Мы используем Google Workspace for Education бесплатно. Нужен ли договор поручения?

Да. Факт бесплатности не отменяет обязанности оформить отношения с обработчиком. Google предоставляет Data Processing Amendment (DPA), который доступен в Admin Console → Account → Legal → Data Processing Amendment. Его нужно принять и сохранить подтверждение. Кроме того, необходимо проверить, где физически хранятся данные: Google предлагает Data Residency для ряда регионов, но для российских операторов актуален вопрос соответствия требованиям локализации 152-ФЗ.

Родитель потребовал удалить данные своего ребёнка. Обязаны ли мы это сделать?

Обязаны, но не всегда полностью. Данные, обработка которых предусмотрена законом (например, обязательная отчётность в ОГЭ/ЕГЭ, трудовые отношения с сотрудниками), не подлежат удалению до окончания установленного срока хранения. Данные, обрабатываемые на основании согласия (фото, публикации), — удалить при отзыве согласия обязательно. В ответ на запрос нужно чётко разграничить эти два случая и дать мотивированный ответ в течение 30 дней.

📋 Связанные страницы

Юридическая упаковка для образования 152-ФЗ: документы и штрафы Все юрисдикции

Приведите документы школы в порядок до прихода РКН

Разработаем полный пакет документов по 152-ФЗ: политика на сайте, согласия родителей, приказы, ЛНА, договоры поручения с вендорами, регламент реагирования на инциденты и программу обучения сотрудников.

Политика обработки ПДн Согласия родителей ЛНА и приказы Договоры с вендорами Обучение сотрудников Регламент утечек

Заказать юридическую упаковку для школы

Работаем с государственными и частными школами, колледжами, онлайн-курсами. Ответим в течение рабочего дня.