Родитель заполняет на сайте школы форму записи в первый класс: ФИО ребёнка, дата рождения, адрес, свой телефон. Через дорогу взрослый покупает себе онлайн-курс и оставляет имя и почту. Так вот: данные ребёнка на сайте школы по закону защищены хуже, чем данные взрослого на коммерческой платформе. Звучит как нелепость — но именно это показала наша проверка.
Мы прогнали через автоматический сканер ScanBase 474 сайта российских образовательных организаций — школ, гимназий, лицеев, вузов, колледжей, детских садов и онлайн-школ — на соответствие закону «О персональных данных» (152-ФЗ). И главный результат не в том, что нарушают все. Нарушают действительно все. Главное — кто нарушает сильнее: организации, которым доверены данные детей, проваливают базовую правовую защиту чаще, чем коммерческие платформы, которым доверены данные платёжеспособных взрослых.
Если коротко: из 474 проверенных сайтов чистых не нашлось вовсе — ни один сайт, который собирает персональные данные, не прошёл без замечаний. В среднем — пять нарушений на сайт, средний балл соответствия 52 из 100. Но за этим средним прячется перекос, ради которого и стоило затевать исследование.
Парадокс: чем уязвимее субъект, тем слабее защита
Логично было бы ждать обратного. Детский сад и школа работают с самой чувствительной аудиторией — несовершеннолетними, — и от них хочется максимальной аккуратности. А коммерческая онлайн-школа, которая боится штрафов и проверок, должна, казалось бы, выкручиваться сильнее. На деле — наоборот.
Возьмём три базовых требования 152-ФЗ и сравним школы и детские сады (данные детей) с коммерческим edtech (данные взрослых):
Картина последовательная. Там, где обрабатываются данные ребёнка, чаще нет документа, который объясняет родителю, что с этими данными происходит, и даёт возможность согласиться или отозвать согласие. Каждая третья школа вообще без политики конфиденциальности; четыре из пяти школьных согласий юридически дефектны; больше половины детсадов не сообщают, кто оператор их данных. У коммерческого edtech те же документы в разы лучше — потому что для бизнеса это вопрос штрафа, а для школы — формальность, до которой не доходят руки.
Но у этой аккуратности своя цена. Те же онлайн-школы — рекордсмены по утечке данных наружу: 87% передают данные за рубеж (против 41% у школ), четверть держит серверы вне России. Так что проигрывают, по сути, все — только по-разному. Учреждения с данными детей валят базу: документы и согласие. Коммерция исправно оформляет бумаги, но монетизирует посетителя через зарубежные трекеры и пиксели. Вузы — посередине: документы чаще на месте, а cookie и трансграничная передача такие же, как у всех.
Для масштаба: средний балл образования — 52 из 100. В нашем отдельном пилотном скане сайтов частных медклиник (другая «чувствительная» отрасль) средний балл был похожим, около 53 из 100 на меньшей выборке. То есть образование не выглядит лучше сектора, который принято считать проблемным.
Почему данные детей — это серьёзно
У образовательных организаций три отягчающих обстоятельства, из-за которых цена дефектной защиты выше, чем у обычного интернет-магазина.
Данные несовершеннолетних. Согласие на обработку данных ребёнка дают законные представители — родители. Если механика согласия сломана (галочка преднажата, нет ссылки на текст, нет порядка отзыва), то юридически родитель ничего не разрешал, а школа уже обрабатывает данные. Это не теоретический риск: именно жалоба родителя чаще всего запускает проверку.
Чувствительный состав данных. Помимо контактов, школы и сады нередко собирают сведения, граничащие со специальными категориями: о здоровье (медсправки, группы здоровья, ОВЗ), о социальном положении (льготы, многодетность, опека). Обработка специальных категорий по ст. 10 152-ФЗ требует отдельных оснований.
Доверие по умолчанию. От государственной школы или вуза родитель не ждёт подвоха и отдаёт данные не глядя. Тем тяжелее последствия, когда выясняется, что сайт сливал эти данные в зарубежную аналитику без согласия.
Как мы это проверяли
Все проверки выполнены автоматическим онлайн-сканером ScanBase — тем же, что доступен публично каждому, без ручных экспертных оценок. Каждый сайт открывается в headless-браузере (рендерится с выполнением JavaScript, как у настоящего посетителя), поэтому видны динамические формы, cookie-баннеры и реальные сетевые запросы к сторонним сервисам — то, чего нет в исходном HTML. Сканер проверяет документы, формы, cookie, трекеры, трансграничную передачу и локализацию серверов; вторым слоем тексты политик и согласий разбираются на полноту по обязательным элементам.
Выборка — 474 сайта из открытых каталогов и реестров образовательных организаций, по четырём под-сегментам (школы — 108, вузы и колледжи — 117, детсады — 130, edtech — 119) и более чем 15 регионам России. Период — июнь 2026.
Нарушают все: общая картина
Перекос между сегментами вырастает на общем фоне, где плохо у всех. Вот доля сайтов с каждым нарушением:
Доля сайтов, собирающих персональные данные. * «Отклонить» — среди сайтов, у которых cookie-баннер есть.Самая показательная строка — верхняя. Трекеры до согласия — 100%. Согласие по закону должно быть получено до начала обработки. На практике при загрузке страницы браузер сразу отправляет запросы в Яндекс.Метрику, Google Analytics, пиксели соцсетей — и только потом пользователь видит баннер и жмёт «Принять». Данные уже собраны. На всех без исключения сайтах с аналитикой баннер оказался декорацией: он сообщает о сборе, который уже идёт, но не управляет им.
Анатомия одного сайта
Чтобы статистика стала осязаемой, соберём типичный сайт школы из самых частых нарушений (обобщённый портрет, не конкретная организация). Проследим, что происходит, когда родитель открывает страницу записи.
- Страница загружается — и ещё до появления cookie-баннера в Яндекс.Метрику и Google Analytics уходят данные о посетителе: IP, устройство, переходы.
- Через Google Analytics и подключённые Google Fonts эти данные покидают Россию и оказываются на серверах за рубежом — без выполнения условий ст. 12 о трансграничной передаче.
- Родитель заполняет форму записи ребёнка. Галочки согласия либо нет, либо она преднажата и без ссылки на текст — то есть согласие юридически не получено.
- Он ищет, кому принадлежат данные и как их удалить, но реквизитов оператора нет, а в политике (если она есть) не указаны ни сроки хранения, ни порядок передачи третьим лицам.
Каждый шаг — отдельный состав нарушения. На одном сайте их в среднем пять. И заметьте: ни один из них родитель не способен увидеть — всё происходит «под капотом» браузера.
Что под капотом: какие сервисы мы нашли
Headless-браузер фиксирует каждый сторонний скрипт, который реально подгружается на странице. Вот что встречается чаще всего (доля проверенных сайтов):
| Сервис | Где встречается | Что и куда отправляет |
|---|---|---|
| Яндекс.Метрика | 82% | поведение пользователя; серверы в РФ, но требует согласия |
| Google Analytics | 31% | поведение, IP, сессии → серверы Google (США) |
| Google Fonts | 30% | IP-адрес при каждой загрузке шрифта → Google |
| Пиксель ВКонтакте | 18% | поведение для рекламного таргетинга |
| Google reCAPTCHA | 9% | поведение, отпечаток устройства → Google |
| Пиксель Meta** | 8% | поведение → серверы Meta за рубежом |
Показателен сюжет с Google Fonts: безобидные на вид шрифты при каждом подключении передают IP-адрес посетителя на серверы Google. 30% образовательных сайтов отдают данные за рубеж буквально из-за шрифтов — обычно даже не подозревая об этом, потому что их подключил подрядчик при вёрстке. Заменить на локальные копии — вопрос пятнадцати минут, а одно нарушение трансграничной передачи закрывается.
Документ есть — но он неполон
Наличие политики ещё не значит, что она соответствует закону: документ бывает скачан из интернета и обрезан. Поэтому тексты 260 политик и 73 согласий мы разобрали по обязательным элементам.
64%
политик конфиденциальности не содержат хотя бы одного обязательного элемента. У детских садов — 71%, у школ — 69%.
Чаще всего в политиках отсутствуют:
| Обязательный элемент (ст. 18.1 152-ФЗ) | Отсутствует | Раскрыт корректно |
|---|---|---|
| Передача данных третьим лицам / трансгранично | 43% | 47% |
| Сроки хранения ПДн | 31% | лишь 27% |
| Перечень обрабатываемых данных | 23% | 70% |
| Права субъекта ПДн | 21% | 39% |
| Цели обработки | 20% | 72% |
Самый частый пробел стыкуется с другой нашей цифрой и образует наглядное противоречие: 54% сайтов фактически передают данные за рубеж, а 43% политик вообще не содержат раздела о передаче третьим лицам. Передача идёт — а в документе о ней ни слова. Для проверяющего это два нарушения сразу.
С согласиями ещё тяжелее: 60% содержат пробелы, а в школах — 80%. Каждое второе-третье школьное согласие не указывает перечень данных, срок действия и порядок отзыва. Подпись родителя есть — а согласие, по ст. 9 152-ФЗ, юридически дефектно.
«Меня в этих цифрах задевает не то, что нарушают — нарушают почти все в рунете. Задевает порядок. Школа и детский сад — последние, кому стоило бы экономить на защите данных, потому что у них на руках самое уязвимое: данные детей. А по факту коммерческая онлайн-школа оформляет документы аккуратнее, чем учреждение, которому родители несут свидетельство о рождении. Это не вопрос денег — почти всё чинится за день. Это вопрос того, что приватность ребёнка пока никто не считает приоритетом».
Чем это грозит
Нарушения в работе с персональными данными влекут административную ответственность по ст. 13.11 КоАП РФ, и в 2025 году она была существенно ужесточена: штрафы за обработку без согласия, отсутствие политики и неуведомление Роскомнадзора выросли в разы, а за утечки введены отдельные крупные, в том числе оборотные, штрафы. Конкретная сумма зависит от состава и статуса организации, но прежняя логика «формальность простят» больше не работает.
Для образовательной организации к финансовому риску добавляется репутационный: жалоба родителя на то, что сайт собирает данные ребёнка без нормального согласия, — это и проверка, и удар по доверию семей. Понять, какие нормы затронуты на конкретном сайте, помогает бесплатная проверка в сканере, а привести документы и формы в порядок — юридическое сопровождение по 152-ФЗ.
Что стоит проверить на своём сайте
Согласие и трекеры. Счётчики и пиксели не должны запускаться до согласия — только после клика «Принять». Под каждой формой — отдельная непреднажатая галочка со ссылкой на текст согласия. Это закрывает сразу две самые массовые проблемы.
Cookie-баннер. Реальный выбор: «Принять» и «Отклонить» равнозначны.
Документы. Политика — со всеми обязательными элементами (цели, перечень данных, основание, сроки хранения, передача третьим лицам, права субъекта, реквизиты оператора). Согласие — с перечнем данных, сроком и порядком отзыва. Для данных детей — отдельная форма согласия для законных представителей.
Сторонние сервисы. Зарубежные инструменты (Google Fonts, Google Analytics, reCAPTCHA) по возможности заменить на локальные аналоги или разместить внутри РФ — это снимает вопрос трансграничной передачи в корне.
Начать стоит с диагностики: проверьте сайт сканером и посмотрите пример отчёта. Если нарушений много, документы и формы можно привести в порядок через юридическое сопровождение, а чтобы сайт не «сполз» обратно после доработок — поставить его на автоматический мониторинг соответствия.
Проверьте свой сайт на соответствие 152-ФЗ
Тот же сканер, что в исследовании: откроет сайт в headless-браузере и за минуту покажет конкретные нарушения с указанием норм. Бесплатно — а если нужно исправить, поможем с приведением в соответствие и мониторингом.
Запустить проверку →Частые вопросы
Да. Как только на сайте есть форма обратной связи, записи, регистрации или приёмная кампания — организация собирает персональные данные и становится оператором ПДн: нужны политика, согласие, реквизиты оператора, уведомление в Роскомнадзор. Для данных несовершеннолетних согласие дают законные представители — родители, и под это нужна отдельная корректная форма.
Трансграничная передача без выполнения требований ст. 12 152-ФЗ — самостоятельное нарушение. Google Analytics, Google Fonts, reCAPTCHA отправляют данные посетителей (IP, поведение) на серверы за пределами РФ. В исследовании такие сервисы передавали данные за рубеж в 100% случаев, где были найдены. Снять вопрос можно, заменив их локальными аналогами или разместив ресурсы внутри РФ.
Согласие должно быть получено до начала обработки. Если счётчики срабатывают при загрузке страницы — ещё до клика «Принять», — данные уже собираются без основания, а баннер становится формальностью. В выборке это происходило на 100% сайтов с трекерами. Решение — отложенная инициализация скриптов: они запускаются только после согласия.
Не обязательно. 64% проверенных политик неполны: чаще всего отсутствует раздел о передаче данных третьим лицам (43%) и сроки хранения (корректно указаны лишь у 27%). Документ должен содержать все обязательные элементы ст. 18.1 152-ФЗ, иначе формально он есть, а требованию не отвечает.
Прогнать сайт через автоматический онлайн-сканер — он откроет страницу в браузере, проверит документы, формы, cookie-баннер, трекеры и трансграничную передачу и покажет конкретные нарушения с нормами. Проверка на scanbase.ru занимает меньше минуты.
Формулировки в исследовании — «признаки нарушений по автоматической проверке», а не юридическое заключение по конкретному сайту. Имена сайтов не раскрываются: исследование оперирует только агрегированными процентами.
** Meta Platforms Inc. (включая социальные сети Facebook и Instagram) признана в России экстремистской организацией, её деятельность на территории РФ запрещена.