Персональные данные в образовательной организации: что требует 152-ФЗ

Q: Является ли школа оператором персональных данных?

Да. Любая образовательная организация, обрабатывающая данные учащихся, родителей и сотрудников, по 152-ФЗ является оператором и несёт все обязанности: политика, согласия, уведомление РКН, меры защиты.

Q: Нужно ли образовательной организации подавать уведомление в Роскомнадзор?

Как правило, да: объём данных в образовании таков, что уведомление обязательно. Проверить регистрацию можно в реестре операторов на pd.rkn.gov.ru; обязанность установлена ст. 22 152-ФЗ.

Q: Можно ли использовать Google Analytics и Google Fonts на сайте школы?

Рискованно: такие сервисы передают данные за рубеж, что подпадает под требования ст. 12 152-ФЗ о трансграничной передаче. Безопаснее заменить их на российские аналоги или разместить ресурсы внутри РФ.

Q: Как быстро проверить сайт образовательной организации?

Прогнать его через автоматический сканер — он проверит политику, формы и согласие, cookie-баннер, трекеры и трансграничную передачу. Проверка на scanbase.ru занимает меньше минуты.

Школа, вуз, колледж или детский сад — это полноценный оператор персональных данных в смысле 152-ФЗ. Образовательная организация обрабатывает данные учащихся и воспитанников, их родителей, абитуриентов и собственных сотрудников, причём нередко — чувствительные сведения о здоровье и социальном положении. А значит, на неё распространяется весь набор обязанностей закона «О персональных данных». Разберём, что именно должна делать образовательная организация, где проходит граница «нужно/не нужно согласие» и что чаще всего нарушается на практике.

52 / 100

средний балл соответствия 152-ФЗ у образовательных сайтов. В нашей проверке 474 сайтов ни один не прошёл без замечаний — в среднем по пять нарушений на сайт.

Какие данные обрабатывает образовательная организация

Объём персональных данных в образовании велик и разнороден. Условно их можно разделить на четыре группы:

Учащиеся и воспитанники: ФИО, дата рождения, адрес, данные документов, успеваемость, а часто и сведения о здоровье (медсправки, группы здоровья, ОВЗ) — это уже специальная категория по ст. 10 152-ФЗ.
Родители и законные представители: ФИО, контакты, иногда сведения о составе семьи, льготах, социальном статусе.
Абитуриенты: данные приёмных кампаний — паспорта, аттестаты, результаты экзаменов.
Работники: кадровые данные сотрудников, включая специальные категории.

⚠️ Данные о здоровье и социальном положении — специальная категория. Их обработка по ст. 10 152-ФЗ допускается только при отдельных основаниях и требует повышенных мер защиты. Для образования это не редкость, а повседневность.

Когда нужно согласие, а когда обработка идёт по закону

Ключевая развилка, на которой путаются чаще всего. Значительную часть данных образовательная организация обрабатывает без согласия — на основании закона «Об образовании» и иных нормативных актов: зачисление, ведение личных дел, учёт успеваемости, отчётность. Требовать согласие на то, что прямо предписано законом, не нужно.

Согласие необходимо там, где обработка выходит за рамки прямых обязанностей: размещение фото и работ учащихся на сайте и в соцсетях, передача данных третьим лицам (страховым, фотостудиям, платформам), рассылки, дополнительные платные услуги, биометрия. Здесь нужно отдельное корректное согласие — а для несовершеннолетних его дают родители. Как оформить его без ошибок, мы разобрали в отдельной статье: согласие на обработку ПДн в школе.

Обязанности образовательной организации по 152-ФЗ

Полный набор требований к оператору применим и к образовательной организации. Вот основные обязанности и нормы, которыми они установлены:

Обязанность	Норма
Опубликовать политику обработки персональных данных (в т.ч. на сайте)	ст. 18.1 152-ФЗ
Получать согласие там, где обработка не основана на законе	ст. 9 152-ФЗ
Подать уведомление в Роскомнадзор и попасть в реестр операторов	ст. 22 152-ФЗ
Назначить ответственного за организацию обработки ПДн, принять локальные акты и меры защиты	ст. 18.1, 19 152-ФЗ
Хранить базы данных граждан РФ на серверах в России (локализация)	ст. 18 152-ФЗ
Обеспечить права субъектов: доступ, исправление, удаление, отзыв согласия	ст. 14 152-ФЗ
Соблюдать условия трансграничной передачи данных	ст. 12 152-ФЗ

💡 Уведомление в Роскомнадзор — отдельная частая недоработка. Большинство образовательных организаций обрабатывают данные в объёме, при котором уведомление обязательно, но проверить факт регистрации можно в открытом реестре операторов на сайте РКН (pd.rkn.gov.ru).

Что из этого видно на сайте — и что чаще всего не сделано

Часть обязанностей оператора реализуется именно на сайте, и именно сайт первым попадает в поле зрения при жалобе или проверке. Вот что чаще всего отсутствует на образовательных сайтах по данным нашей проверки:

Трекеры срабатывают до согласия на cookie100%

Нет корректного согласия под формами72%

Нет cookie-баннера55%

Нет реквизитов оператора ПДн35%

Нет политики конфиденциальности17%

Доля сайтов, собирающих персональные данные. Исследование ScanBase, 2026.

То, что на сайте обязательно должно быть в порядке:

Политика обработки ПДнДоступна по ссылке (обычно в подвале), с реквизитами оператора и всеми обязательными разделами — цели, перечень данных, сроки, передача третьим лицам, права субъекта.

Согласие под каждой формойОтдельная непреднажатая галочка со ссылкой на согласие/политику. Для данных детей — согласие законного представителя.

Cookie-баннер с реальным выборомКнопки «Принять» и «Отклонить» равнозначны, а трекеры не запускаются до согласия.

Реквизиты оператора и контакт для обращенийНаименование, ИНН, адрес и способ направления запросов субъектов (реализация прав по ст. 14).

Локальные сервисы вместо зарубежныхШрифты, аналитика и капча — на российских аналогах или внутри РФ, чтобы не возникала трансграничная передача.

Что должно быть внутри организации, а не только на сайте

Сайт — витрина соответствия, но значительная часть обязанностей оператора реализуется во внутренних документах и процессах. Эту часть на образовательных сайтах не видно, и именно её часто не делают:

Ответственный за организацию обработки ПДн. Назначается приказом — отдельный сотрудник, отвечающий за соблюдение 152-ФЗ (ст. 18.1).
Локальные акты. Политика обработки ПДн, положение о защите персональных данных, перечень обрабатываемых данных и мест их хранения, список лиц с доступом (ст. 18.1, 19).
Обязательства сотрудников. Работники, имеющие доступ к данным учащихся и коллег, дают обязательство о неразглашении; доступ ограничивается по принципу необходимости.
Уровень защищённости и меры. Определяется уровень защищённости данных и принимаются организационные и технические меры (модель угроз, защищённое хранение, разграничение доступа) — ст. 19 и подзаконные акты (Постановление Правительства № 1119).
Актуализация сведений в РКН. Уведомление поддерживается в актуальном состоянии при изменении целей и состава обработки (ст. 22).

💡 Образовательной организации удобно собрать это в единый пакет: политика + положение о защите ПДн + формы согласий + приказ об ответственном + перечень мер. Тогда и сайт, и внутренние проверки опираются на одни и те же документы.

Чем грозит несоблюдение

Нарушения в работе с персональными данными влекут ответственность по ст. 13.11 КоАП РФ, существенно ужесточённой в 2025 году: штрафы для организаций выросли в разы, а за утечки введены отдельные крупные, в том числе оборотные, штрафы. Для образовательной организации добавляется репутационный фактор и повышенное внимание регулятора к данным несовершеннолетних. Чаще всего проверку запускает жалоба родителя или сотрудника.

С чего начать приведение в порядок

✅ Большинство требований закрываются разовой работой: документы, формы, cookie и замена зарубежных сервисов. Главная сложность — увидеть всю картину: где на сайте собираются данные и какие требования не выполнены.

Логичная последовательность: сначала диагностика сайта сканером (он покажет конкретные пробелы и нормы), затем приведение документов и форм в порядок — самостоятельно или через юридическое сопровождение по 152-ФЗ, и далее мониторинг, чтобы сайт не «сползал» обратно после обновлений. Полная картина по отрасли — в исследовании «Данные детей защищены хуже всего».

Проверьте сайт образовательной организации на 152-ФЗ

Сканер за минуту покажет, какие требования не выполнены: документы, согласие, cookie, трекеры, трансграничная передача. Бесплатно.

Запустить проверку →

Частые вопросы

Является ли школа оператором персональных данных?+

Да. Любая образовательная организация, которая обрабатывает данные учащихся, родителей и сотрудников, по 152-ФЗ является оператором персональных данных и несёт все обязанности оператора: политика, согласия, уведомление РКН, меры защиты.

Нужно ли образовательной организации подавать уведомление в Роскомнадзор?+

Как правило, да: объём и состав обрабатываемых данных в образовании таков, что уведомление обязательно. Проверить регистрацию можно в открытом реестре операторов на pd.rkn.gov.ru; обязанность установлена ст. 22 152-ФЗ.

На какие данные учащихся нужно согласие, а на какие нет?+

Обработка в рамках обязанностей школы (зачисление, успеваемость, отчётность) идёт без согласия — основание прямо в законе об образовании. Согласие нужно на то, что сверх этого: фото на сайте, публикации, передача третьим лицам, рассылки, доп. услуги, биометрия.

Можно ли использовать Google Analytics и Google Fonts на сайте школы?+

Это рискованно: такие сервисы передают данные посетителей за рубеж, что подпадает под требования ст. 12 152-ФЗ о трансграничной передаче. Безопаснее заменить их на российские аналоги или разместить ресурсы внутри РФ.

Как быстро проверить сайт образовательной организации?+

Прогнать его через автоматический сканер — он откроет сайт в браузере и проверит политику, формы и согласие, cookie-баннер, трекеры и трансграничную передачу, показав конкретные нарушения. Проверка на scanbase.ru занимает меньше минуты.

Материал носит информационный характер и не является юридической консультацией по конкретной ситуации. Статистика — по данным автоматической проверки сайтов сканером ScanBase, 2026.