Нужно ли согласие студентов, если договор об образовательных услугах уже подписан?

Договор является самостоятельным правовым основанием для обработки данных, необходимых для его исполнения. Согласие дополнительно нужно только для обработки сверх договора: публикация фото, биометрия, данные о здоровье для исследований.

Если вуз использует Moodle на собственном сервере — нужен ли договор поручения с разработчиками Moodle?

Нет. Разработчики Moodle Pty Ltd не имеют доступа к данным вашей инсталляции. Договор поручения нужен с хостинг-провайдером, администраторами на аутсорсе, подрядчиками по техподдержке.

Видеозаписи лекций с лицами студентов — это биометрия?

Зависит от обработки. Само видео — не биометрия. Биометрическими данные становятся при использовании распознавания лиц для идентификации студента (прокторинг, контроль посещаемости).

Вуз хочет продать лицензию на LMS другому университету. Что меняется с точки зрения ПДн?

При передаче ПО вуз выступает лицензиаром, не оператором ПДн покупателя. Если в рамках техподдержки появляется доступ к данным студентов покупателя — нужен договор поручения обработки ПДн.

Персональные данные

Вуз разрабатывает ПО: как выполнить требования 152-ФЗ

Q: Распространяется ли 152-ФЗ на данные иностранных студентов?

152-ФЗ применяется к операторам в РФ вне зависимости от гражданства субъектов. На данные иностранных студентов распространяются те же требования. Дополнительно могут применяться законы страны их гражданства.

Университет, создающий собственное программное обеспечение, играет две роли одновременно: он оператор персональных данных студентов и преподавателей и разработчик информационной системы, которая эти данные обрабатывает. Каждая роль несёт свои обязательства — и они накладываются друг на друга.

📅 Обновлено: май 2026 ⏱ Читать ~12 мин 🎓 Для: ректоратов, IT-директоров, руководителей разработки

Содержание

Двойная роль вуза: оператор и разработчик ИСПДн
Типичные продукты вузов и риски каждого
ИСПДн вуза и уровни защищённости (ПП РФ № 1119)
Модель угроз по приказу ФСТЭК № 21
Согласие студентов и абитуриентов
Договоры поручения с подрядчиками
Open Source и облачные API: лицензии и DPA
Локализация данных: серверы в РФ и трансграничная передача
Аккредитация, РКН, ФСТЭК: кто и что проверяет
Чек-лист вуза-разработчика: 10 пунктов

1. Двойная роль вуза: оператор и разработчик ИСПДн

Большинство требований 152-ФЗ адресованы операторам персональных данных — тем, кто определяет цели и средства обработки. Вуз является оператором ПДн с момента первого контакта с абитуриентом: заявление на поступление, анкета, личное дело — всё это персональные данные, требующие правовой основы для обработки.

Когда тот же вуз начинает разрабатывать собственные информационные системы — LMS, личный кабинет студента, электронную зачётку — он становится ещё и разработчиком информационной системы персональных данных (ИСПДн). Здесь к обязательствам оператора добавляются требования к проектированию и защите самой системы.

Как оператор вуз обязан:

Получать согласие на обработку ПДн
Публиковать политику обработки ПДн
Подать уведомление в РКН
Назначить ответственного
Обеспечить права субъектов (доступ, исправление, удаление)
Оформить договоры поручения с обработчиками

Как разработчик ИСПДн вуз обязан:

Определить уровень защищённости (УЗ) системы
Разработать модель угроз
Реализовать технические меры защиты (приказ ФСТЭК № 21)
Провести оценку эффективности мер
Вести журналы событий и доступа
Документировать архитектурные решения по безопасности

Ключевой момент: ИСПДн — это не просто база данных. Это любая система, в которой персональные данные обрабатываются с помощью средств автоматизации. Веб-форма с данными студента, excel-таблица на сервере, API для мобильного приложения — всё это элементы ИСПДн, каждый из которых подпадает под требования 152-ФЗ и подзаконных актов.

Подробнее о правовом режиме обработки данных в российском праве — на нашей странице «Россия / 152-ФЗ».

2. Типичные продукты вузов и риски каждого

Современный университет разрабатывает или эксплуатирует целый зоопарк IT-систем. У каждой — свой профиль персональных данных и своя зона риска с точки зрения 152-ФЗ.

LMS / портал дистанционного обучения

ПДн: ФИО, прогресс обучения, результаты тестов, видеоматериалы с лицом студентабиометрия?

Риск: видеозаписи занятий с распознаванием лиц = биометрические ПДн, требующие отдельного согласия

Онлайн-приёмная комиссия

ПДн: паспортные данные, аттестат, СНИЛС, результаты ЕГЭ, сведения о льготах

Риск: данные несовершеннолетних (до 18 лет), передача сведений в портал Госуслуг — кто оператор?

Электронная зачётка / успеваемость

ПДн: ФИО, группа, оценки, задолженности, сведения о пересдачах

Риск: публичный доступ к оценкам (рейтинги) без согласия студента нарушает ст. 7 152-ФЗ

Мобильное приложение для студентов

ПДн: геолокация, push-уведомления, история запросов, биометрия (Face ID)

Риск: геолокация — чувствительные данные; Face ID для входа = биометрическая аутентификация

Научные порталы и репозитории

ПДн: ФИО авторов, аффилиации, ORCID, email

Риск: публикация данных сотрудников без согласия; передача в международные базы — трансграничная передача

Alumni-сервисы и выпускники

ПДн: место работы, достижения, фото, контакты

Риск: данные выпускников требуют отдельного согласия — трудовые отношения с вузом прекращены

Рейтинговые и репутационные системы

ПДн: публичный рейтинг студентов, академические достижения

Риск: публикация персонального рейтинга без согласия — нарушение конфиденциальности оценок

Системы контроля доступа (СКУД)

ПДн: биометрия (отпечатки, лицо), данные карт, история посещенийспец. кат.

Риск: биометрические данные = специальная категория, требуется письменное согласие

Правило дифференциации: Чем более чувствительны обрабатываемые данные (здоровье, биометрия, данные несовершеннолетних), тем выше уровень защищённости системы и тем строже требования к согласию и организационным мерам.

3. ИСПДн вуза и уровни защищённости по ПП РФ № 1119

Постановление Правительства РФ № 1119 от 01.11.2012 устанавливает четыре уровня защищённости (УЗ) информационных систем персональных данных. Уровень определяется пересечением двух факторов: категории данных и числа субъектов в системе.

Уровень	Когда применяется	Типичный сценарий в вузе
УЗ-1	Специальные категории (здоровье, биометрия) + актуальные угрозы 1-го типа (уязвимости в системном ПО)	СКУД с биометрией + угрозы 1-го типа — редко для обычного вуза
УЗ-2	Специальные категории, угрозы 2-го типа; или иные ПДн > 100 000 субъектов, угрозы 1-го типа	Медицинский факультет с историями болезней студентов
УЗ-3	Специальные категории < 100 000 субъектов, угрозы 3-го типа; или иные ПДн любого масштаба, угрозы 2-го типа	Большинство ИСПДн средних и крупных вузов: личные дела, оценки, СКУД без биометрии
УЗ-4	Иные ПДн < 100 000 субъектов, угрозы 3-го типа	Небольшие административные системы, alumni-сервисы

Для определения актуального типа угроз необходима модель угроз (см. раздел 4). На практике большинство вузовских ИСПДн попадают в УЗ-3, если только в системе нет медицинских данных или биометрии.

Три основных типа ПДн, с которыми работает вуз:

Общедоступные ПДн

ФИО в публичных рейтингах, данные на официальном сайте — только с согласия субъекта на публикацию.

Иные (обычные) ПДн

Личные дела, оценки, контакты, паспортные данные — основная масса. УЗ-3 или УЗ-4.

Специальные категории

Здоровье (медфакультет, справки), биометрия (СКУД, видео с распознаванием). УЗ-2 или УЗ-3.

4. Модель угроз по приказу ФСТЭК № 21: влияние на архитектуру

Приказ ФСТЭК России № 21 от 18.02.2013 устанавливает состав и содержание мер по обеспечению безопасности ПДн при их обработке в ИСПДн. Для каждого уровня защищённости — свой набор обязательных мер.

Модель угроз — не формальный документ «для галочки». Это аналитический инструмент, который напрямую влияет на архитектурные решения при разработке системы. Именно поэтому её нужно составлять до начала разработки, а не после.

Что входит в модель угроз (Методика ФСТЭК 2021)

Описание системы: архитектура, компоненты, потоки данных, точки подключения, пользователи и их роли.
Нарушитель: внешний злоумышленник, внутренний сотрудник, привилегированный пользователь — для каждого свой потенциал и вектор атаки.
Актуальные угрозы: из банка данных угроз ФСТЭК (bdu.fstec.ru) — выбираются те, которые реализуемы в данной среде функционирования.
Уязвимости: программные, конфигурационные, организационные — с оценкой вероятности эксплуатации.
Итоговый вывод: тип угроз (1, 2 или 3) → уровень защищённости → набор мер защиты.

Конкретные технические меры, которые вытекают из требований ФСТЭК № 21 и напрямую влияют на разработку:

🔐

Шифрование

Данные в транзите (TLS 1.2+), данные в покое (шифрование БД или отдельных полей). При УЗ-1 — ГОСТ-алгоритмы.

👤

Разграничение доступа

RBAC или ABAC. Студент видит только свои данные. Преподаватель — только свой поток. Минимум привилегий.

📋

Логирование событий

Журнал доступа к ПДн, изменений, экспорта данных. Срок хранения логов — минимум 1 год, для УЗ-1 — 3 года.

🛡

Антивирус и патчи

Средства антивирусной защиты на серверах. Регулярное обновление ОС и компонентов без уязвимостей CVE высокого риска.

🔁

Резервное копирование

Регулярные бэкапы с проверкой восстановления. Хранение резервных копий отдельно от основной базы.

🔒

Управление сессиями

Тайм-аут сессии, ограничение одновременных входов, двухфакторная аутентификация для привилегированных ролей.

Практический совет для команды разработки: включите ответственного за ИБ (или внешнего консультанта) в команду на этапе проектирования — это дешевле, чем переделывать архитектуру после того, как система запущена и РКН начал проверку. Модель угроз, написанная post-factum, не защищает — она только создаёт иллюзию соответствия.

5. Согласие студентов и абитуриентов: нюансы для каждой категории

Правовые основания для обработки ПДн в вузе разнообразны: договор об оказании образовательных услуг, законный интерес, исполнение требований закона, и — в ряде случаев — согласие субъекта. Именно согласие требует наиболее тщательного оформления.

Категория субъекта	Кто даёт согласие	Нюансы
Студенты 18+	Сам студент	Полная дееспособность. Отдельное согласие для каждой ИСПДн с чувствительными данными (биометрия, здоровье).
Студенты до 18 лет	Законный представитель (родитель, опекун)	Характерно для СПО, первых курсов. Позиция РКН: согласие родителя до 18 лет. Студент может подписать дополнительно.
Абитуриенты 18+	Сам абитуриент	Согласие при подаче документов — отдельным документом. Не может быть пунктом в заявлении на зачисление.
Абитуриенты до 18 лет	Законный представитель	При подаче через Госуслуги — особая ситуация (см. ниже).
Преподаватели / сотрудники	Сотрудник	Основание — трудовой договор (ст. 86–88 ТК РФ). Согласие нужно только сверх трудовых обязательств: публикация фото, alumni-данные.
Выпускники (alumni)	Выпускник	Трудовые/договорные отношения прекращены. Для alumni-сервисов нужно новое самостоятельное согласие.

Абитуриент подаёт документы через Госуслуги (ЕПГУ): кто оператор?

Порядка 70% абитуриентов подают документы через портал Госуслуги. Это создаёт правовую неопределённость: данные поступают от ЕПГУ, а не напрямую от абитуриента.

Позиция РКН: при получении данных через ЕПГУ согласие гражданина считается выраженным в рамках регистрации на портале. Однако вуз становится самостоятельным оператором с момента получения данных. Если вуз обрабатывает данные сверх переданных (добавляет в собственные ИСПДн) — нужно собственное согласие.

Если вуз разрабатывает интеграцию с ЕПГУ — необходимо оформить соглашение об информационном взаимодействии, в котором чётко разграничена ответственность за обработку данных.

Требования к форме согласия — те же, что для любого оператора: конкретные цели, перечень данных, срок, право отзыва, собственноручная или КЭП подпись. Подробнее — в нашем материале о compliance для образовательных учреждений.

6. Договоры поручения с подрядчиками: NDA — не замена

Вуз, разрабатывающий ПО, почти всегда привлекает внешних подрядчиков: команды разработки, облачные хостинги, сервисы рассылок, аналитические платформы. В каждом случае, когда подрядчик имеет доступ к персональным данным вуза, необходимо оформлять договор поручения обработки ПДн по ст. 6 ч. 3 152-ФЗ.

Типичные подрядчики вузовских IT-проектов:

☁️

Облачный хостинг (Yandex Cloud, VK Cloud, Selectel)Имеет доступ к серверам с данными студентов. Договор поручения обязателен. Большинство крупных провайдеров предоставляют типовую форму DPA по запросу.

👨‍💻

Внешняя команда разработки (аутсорс, фриланс)Если разработчики имеют доступ к боевой базе данных с реальными ПДн — это обработка по поручению. NDA закрывает конфиденциальность, но не регулирует обработку ПДн. Нужен отдельный договор поручения.

📧

Email-сервис (UniSender, SendPulse, Mailchimp)Адреса студентов и преподавателей, которым отправляются рассылки — это ПДн. Сервис является обработчиком. Договор поручения обязателен; у большинства сервисов есть типовая форма.

📊

Аналитика (Яндекс.Метрика, Google Analytics)Если вуз передаёт пользовательские идентификаторы — договор поручения или отдельный compliance-анализ. Яндекс.Метрика — российский провайдер, данные хранятся в РФ. GA — трансграничная передача.

🔒

Пентестеры / аудиторы безопасностиПри проведении тестирования на проникновение аудиторы получают доступ к системам с ПДн. Договор поручения + ограничение доступа к реальным данным (использование тестовой среды с обезличенными данными).

Частая ошибка: вуз подписывает с разработчиком только NDA (соглашение о неразглашении). NDA защищает коммерческую тайну, но не является договором поручения обработки ПДн по смыслу ст. 6 152-ФЗ. Без договора поручения передача данных подрядчику — незаконная передача персональных данных третьему лицу, штраф до 700 000 рублей.

Что должен содержать договор поручения (ч. 3 ст. 6 152-ФЗ):

Перечень поручаемых действий с ПДн (хранение, обработка, передача)
Цели обработки — строго в соответствии с целями оператора
Обязанность соблюдать конфиденциальность
Технические и организационные меры по обеспечению безопасности
Право оператора проверять выполнение условий поручения
Обязанность уничтожить данные по окончании поручения

7. Open Source компоненты и облачные API: лицензии и DPA

Вузовские разработчики активно используют open source. Это разумно — но несёт два отдельных слоя обязательств: лицензионный (что можно делать с кодом) и privacy (что происходит с данными пользователей через этот код).

Moodle (GNU GPL v3)

Можно использовать, модифицировать, распространять.
Если вуз распространяет модифицированную версию (продаёт, передаёт другим вузам) — обязан открыть исходный код.
Если используете только для себя — GPL-обязательства по раскрытию кода не возникают.
Moodle обрабатывает ПДн студентов — нужна конфигурация с локальным хостингом, а не облачный moodle.com.

Apache / MIT / BSD компоненты

Разрешительные лицензии — минимальные обязательства: сохранить уведомление об авторских правах.
Privacy-риски возникают не от лицензии, а от функционала: сбор телеметрии, запросы к внешним серверам.
Проверяйте все npm/pip/composer-зависимости на наличие телеметрии и запросов к внешним серверам.
Используйте npm audit, OWASP Dependency-Check для выявления уязвимостей в зависимостях.

Применение облачных API — отдельная зона внимания. Каждый API, которому передаются данные пользователей, является обработчиком персональных данных:

Сервис / API	Privacy статус	Что требуется
Яндекс.Облако / Yandex Cloud	РФ ✓	Договор поручения обработки ПДн. Данные в РФ — локализация соблюдается.
VK Cloud / Mail.ru Cloud	РФ ✓	Договор поручения. Серверы в РФ.
Google Workspace for Education	DPA нужен	Data Processing Amendment в Admin Console. Проверить регион хранения данных (Data Residency).
Microsoft Azure / MS 365 Education	DPA нужен	Microsoft DPA в MPSA/Enterprise Agreement. Указать российский регион хранения.
AWS (Amazon Web Services)	Трансграничная передача	DPA (AWS GDPR/DPA) + согласие субъектов на трансграничную передачу или ст. 12 152-ФЗ. Или использовать только российские регионы (нет у AWS) — проблема.
OpenAI API / Anthropic API	Трансграничная передача	Не передавать ПДн в запросах без анонимизации. DPA у OpenAI есть, но данные — в США.

Лицензионные вопросы при разработке вузовского ПО — часть более широкой темы правовой охраны программ для ЭВМ. Если вуз планирует регистрировать собственные разработки или передавать права — полезно ознакомиться с нашим разделом IT-право и регистрация ПО, а также с материалом о лицензионных соглашениях.

8. Локализация данных: серверы в РФ и трансграничная передача

Статья 18.1 152-ФЗ требует, чтобы первичная запись персональных данных граждан Российской Федерации производилась в базах данных, расположенных на территории России. Для вуза это означает: основная база студентов, преподавателей и абитуриентов должна физически находиться на серверах в РФ.

Как правильно реализовать требование локализации в архитектуре ИСПДн

Собственные серверы в дата-центре в РФ — наиболее очевидное решение. Крупные вузы (МГУ, СПбГУ, МФТИ) имеют собственную инфраструктуру.
Российский облачный провайдер (Yandex Cloud, VK Cloud, Selectel, Ростелеком-ЦОД) — данные хранятся в РФ, договор поручения с провайдером закрывает 152-ФЗ.
AWS / Azure / GCP с российским регионом — проблема: у AWS и GCP нет регионов в РФ. Azure имел, но инфраструктура изменилась. Актуальный статус нужно проверять у провайдера.
Зеркальная база в РФ — если основная система международная (например, SAP в международном вузе), первичная запись должна идти в российскую БД, а затем реплицироваться. Не наоборот.

Когда возникает трансграничная передача

Данные физически уходят на серверы за рубежом
Иностранный подрядчик (разработчик, аналитик) удалённо работает с боевой базой
Публикация в международные научные базы (Scopus, Web of Science)
Международные образовательные партнёрства с обменом данными студентов

Как легально передать данные за рубеж

Согласие субъекта на трансграничную передачу (ст. 12 ч. 1) — явное и отдельное
Страна-получатель в списке «адекватных» государств РКН — без дополнительных условий
Уведомление РКН о трансграничной передаче и получение разрешения (ст. 12 ч. 3–4 в ред. 2022)
Обезличивание данных до передачи (GDPR-аналог pseudonymization)

⚠️ Для международных вузов с кампусами за рубежом: обмен данными студентов между российским и зарубежным кампусом одного университета всё равно является трансграничной передачей по 152-ФЗ. Нужны: согласие студентов с указанием страны назначения + уведомление РКН. Автоматическая синхронизация баз между кампусами без правового основания — нарушение.

Полный комплекс документов для соблюдения требований 152-ФЗ в образовательных организациях — на странице юридической упаковки.

9. Аккредитация, РКН, ФСТЭК: кто и что проверяет

Вуз находится в поле зрения нескольких регуляторов одновременно. Важно понимать, что проверяет каждый из них и как это соотносится с разработкой ПО.

Роскомнадзор (РКН)

Основание: 152-ФЗ

Политика обработки ПДн на сайте
Согласия субъектов, уведомление в реестре
Договоры поручения с вендорами
Локализация данных граждан РФ
Реагирование на инциденты (уведомление в 24 ч.)
Права субъектов и ответы на запросы

ФСТЭК России

Основание: Приказы № 17, № 21

Уровень защищённости ИСПДн
Модель угроз (Методика ФСТЭК 2021)
Технические меры защиты информации
Аттестация ГИС (если вуз работает с гос.системами)
Использование сертифицированных СЗИ

Рособрнадзор

Основание: 273-ФЗ «Об образовании»

Образовательная деятельность, лицензия, аккредитация
Качество образовательных программ
Электронное обучение и ДОТ (дистанционные технологии)
При использовании ДОТ — требования к защите доступа к образовательным ресурсам

ФСБ России

Основание: криптография

При использовании СКЗИ (криптографических средств) в ИСПДн высокого уровня
Лицензирование деятельности по разработке СКЗИ (если вуз разрабатывает шифрование)
Ввоз / вывоз СКЗИ

Когда вузовское ПО становится ГИС и что это меняет

Если вузовская система подключается к государственным информационным системам (ФРДО — реестр документов об образовании, ФИС ГИА, ЕПГУ) или сама является ГИС по решению уполномоченного органа — применяется Приказ ФСТЭК № 17, а не № 21. Требования строже: обязательная аттестация системы, сертифицированные средства защиты, согласование с ФСТЭК.

Для большинства внутренних вузовских систем (LMS, электронная зачётка) достаточно № 21. Как только система начинает интегрироваться с государственными реестрами — необходимо уточнять статус системы у ФСТЭК или привлекать аккредитованную организацию по ИБ.

10. Чек-лист вуза-разработчика: 10 пунктов

Если вы только начинаете приводить вузовские IT-системы в соответствие с 152-ФЗ, используйте этот список как дорожную карту:

Инвентаризация ИСПДнСоставьте реестр всех информационных систем, обрабатывающих ПДн: название, состав данных, число субъектов, правовое основание, способ обработки. Это фундамент для всего остального.

Определение уровней защищённости (ПП № 1119)Для каждой ИСПДн — определить УЗ. Большинство вузовских систем — УЗ-3, медицинские данные и биометрия — УЗ-2.

Разработка модели угроз (Методика ФСТЭК 2021)Для каждой ИСПДн — актуальные угрозы, нарушитель, уязвимости. Документ должен быть составлен до финальной архитектуры системы.

Реализация технических мер по ФСТЭК № 21Шифрование, разграничение доступа, логирование, антивирусная защита, управление уязвимостями — в соответствии с УЗ.

Политика обработки ПДн на сайте + уведомление РКНАктуальная политика, доступная с главной страницы. Уведомление в реестре операторов РКН с актуальным составом данных и ИСПДн.

Формы согласий для каждой ИСПДнОтдельное согласие для каждой системы с чувствительными данными. Для несовершеннолетних — через законных представителей. Для биометрии — письменное согласие.

Договоры поручения со всеми подрядчикамиХостинг, облако, разработчики, аналитика, email-сервисы. NDA не является договором поручения. Проверить наличие DPA у каждого вендора.

Проверка локализации данныхОсновные БД студентов — физически в РФ. При использовании иностранных облаков — проверить регион хранения или перейти на российского провайдера.

Регламент реагирования на инцидентыС 30.05.2025 — уведомление РКН об утечке в течение 24 часов. Без заранее прописанной процедуры выдержать срок невозможно. Назначить ответственного, прописать контакты, шаблон уведомления.

Обучение команды разработки и IT-персоналаРазработчики, DevOps, аналитики данных — все, у кого есть доступ к ПДн, должны пройти инструктаж. Журнал инструктажа с подписями — обязателен. Программу обучения утвердить приказом.

Полную документацию по каждому из пунктов для образовательных организаций мы разрабатываем в рамках услуги юридической упаковки. Специфика вузов — в отдельном разделе для образовательных учреждений.

Часто задаваемые вопросы

Нужно ли получать согласие студентов на обработку ПДн, если договор об оказании образовательных услуг уже подписан?

Договор является самостоятельным правовым основанием для обработки данных, необходимых для его исполнения (ст. 6 ч. 1 п. 5 152-ФЗ). Согласие дополнительно нужно только для обработки сверх договора: публикация фото и видео, передача данных в alumni-сервисы, использование биометрии для СКУД, обработка данных о здоровье для медицинских исследований.

Если вуз использует Moodle на собственном сервере в РФ — нужен ли договор поручения с разработчиками Moodle?

Нет. Moodle — open source ПО, которое вуз устанавливает и эксплуатирует самостоятельно. Разработчики Moodle Pty Ltd не имеют доступа к данным вашей инсталляции. Договор поручения нужен с теми, кто физически имеет доступ к вашим данным: хостинг-провайдер, администраторы на аутсорсе, подрядчики по технической поддержке.

Вуз разработал LMS и хочет продать лицензию другому университету. Что меняется с точки зрения ПДн?

При передаче ПО другому вузу вуз-разработчик выступает как разработчик/лицензиар, а не как оператор ПДн другого вуза. Однако если в рамках техподдержки или интеграции вуз-разработчик получает доступ к данным студентов вуза-покупателя — возникает отношение поручения, нужен договор. Дополнительно важны лицензионные условия: если в LMS встроены open source компоненты под GPL — при распространении нужно открыть их исходный код.

Видеозаписи онлайн-лекций с лицами студентов — это биометрия?

Зависит от способа обработки. Само по себе видео с лицом — не биометрия. Биометрическими становятся данные, если вуз использует программное распознавание лиц для идентификации студента (например, для контроля присутствия, прокторинга). Если видео просто хранится как запись занятия — это обычные ПДн, требующие согласия на запись и хранение, но не повышенного УЗ из-за биометрии.

Как быть с данными иностранных студентов — распространяется ли на них 152-ФЗ?

152-ФЗ не ограничивает сферу применения по гражданству субъекта — он применяется к операторам, осуществляющим деятельность на территории РФ, вне зависимости от гражданства субъектов. На данные иностранных студентов распространяются те же требования. Дополнительно могут применяться законы страны их гражданства: студент из ЕС — GDPR; из США — FERPA и законы штата. Это создаёт зону множественного регулирования.

Приведите вузовские IT-системы в соответствие с 152-ФЗ

Разработаем полный compliance-пакет для вуза-разработчика: от модели угроз и технического задания по ИБ до договоров поручения с подрядчиками и согласий для студентов и абитуриентов.

Модель угроз (ФСТЭК 2021) Уровни защищённости Договоры поручения Согласия субъектов Политика ПДн на сайт Регламент инцидентов

Заказать compliance-пакет для вуза

Работаем с государственными и частными вузами, колледжами, EdTech-платформами. Ответим в течение рабочего дня.