Персональные данные детей в школах, кружках и онлайн-курсах: что нужно знать родителям и организациям в 2025 году

Новые штрафы до 20 млн рублей, уголовная ответственность за данные несовершеннолетних и централизация миллионов школьных записей — разбираем, кто, что и на каком основании собирает, и как защитить права ребенка.

Почему это важно именно сейчас

Каждый раз, когда ребенок идет в школу, записывается на кружок робототехники, участвует в онлайн-олимпиаде или едет на спортивные соревнования, организации собирают его персональные данные — и данные его родителей. Десятки согласий, анкеты, электронные журналы, базы данных тренеров и организаторов конкурсов. Это привычная часть детской жизни, которую почти никто не замечает.

Между тем ситуация кардинально изменилась. В 2024 году из российских компаний утекло 1,581 млрд записей персональных данных — рост составил более 30% по сравнению с 2023 годом [8]. Количество утечек из российских учреждений образования в первом полугодии 2025 года составило 18, что на 20% больше, чем в первой половине 2024 года [7]. Образование устойчиво входит в число наиболее уязвимых отраслей.

Законодатель реагирует ужесточением: в конце 2024 года приняты законы, поднявшие штрафы на порядок и впервые введшие уголовную ответственность за незаконное обращение с данными. При этом данные несовершеннолетних выделены в особую категорию с повышенной санкцией.

Эта статья — для родителей, которые хотят понять свои права, и для руководителей образовательных организаций, которые хотят избежать штрафов и репутационных потерь. Мы разберем правовую рамку, типичные нарушения, новые санкции и практические шаги, которые уже сегодня стоит предпринять.

Правовая рамка: кто, что и на каком основании собирает

Школа как оператор персональных данных

Главный закон в этой сфере — Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» [1]. Школа, как и любая другая организация, собирающая сведения о людях, является оператором персональных данных. В соответствии с ФЗ-152, при сборе персональных данных образовательные учреждения обязаны обеспечить запись, хранение и обработку персональных данных граждан Российской Федерации с использованием баз данных, находящихся на территории Российской Федерации [2].

Правовое основание для обработки данных в школе определяется сразу несколькими нормативными актами: ФЗ-152 «О персональных данных», ФЗ-273 «Об образовании в РФ», Гражданским, Семейным и Трудовым кодексами [2].

Важнейшая особенность школы как оператора состоит в том, что часть данных она вправе обрабатывать без согласия родителей — в силу закона и в рамках непосредственного образовательного процесса. Школы могут обрабатывать персональные данные учеников и родителей только для целей организации учебного процесса — например, чтобы заполнять школьный журнал, формировать статистику, следить за здоровьем учеников [2]. Но для всего, что выходит за рамки учебы — олимпиад, экскурсий, поездок, конкурсов, публикации фотографий — требуется отдельное письменное согласие.

Ключевой принцип, который нарушается чаще всего: на каждую цель — свое согласие. Данные, собранные при поступлении, не могут использоваться для участия в олимпиаде или передачи организатору экскурсии [9].

Что входит в обязательный минимум, который школа вправе хранить без согласия:

1. Фамилия, имя, отчество ребенка.
2. Дата и место рождения.
3. Адрес регистрации и проживания.
4. Сведения из документов, удостоверяющих личность.
5. Контактные данные родителей (законных представителей).
6. Сведения об успеваемости, посещаемости, поведении.
7. Информация о состоянии здоровья в объеме, необходимом для учебного процесса.

Что требует отдельного согласия:

1. Передача данных третьим лицам — организаторам мероприятий и конкурсов.
2. Публикация фотографий и видеозаписей на сайте школы и в соцсетях.
3. Участие ребенка в олимпиадах, соревнованиях, конкурсах с передачей ПД организаторам.
4. Сбор биометрических данных, в том числе для пропускных систем с распознаванием лиц.
5. Обработка специальных категорий данных — подробных сведений о здоровье, национальности, религии.

Школа обязана зарегистрироваться в Роскомнадзоре как оператор персональных данных, разработать и опубликовать политику обработки персональных данных, назначить ответственное лицо. В 2025 году законодатель ужесточил требования к локализации сведений, обязав организации хранить их на территории России [4].

Кружки, секции, дополнительное образование — отдельный оператор, отдельные правила

Детская школа искусств, спортивная секция, языковой центр или кружок программирования — каждая из этих организаций является самостоятельным оператором персональных данных. Согласие, данное школе, не распространяется автоматически на кружок, даже если он расположен в том же здании.

При записи ребенка в секцию организация, как правило, запрашивает: ФИО ребенка и родителей, контактный номер телефона, сведения о состоянии здоровья — группа здоровья, ограничения по нагрузкам. Для ДЮСШ и официально аккредитованных спортивных школ объем данных может быть шире — СНИЛС, медицинская справка, результаты соревнований.

Критичный момент: многие небольшие кружки и студии работают как ИП или ООО. В первом полугодии 2024 года 51,3% всех утечек информации в России пришлись на индивидуальных предпринимателей и небольшие компании до 50 сотрудников [21]. Именно малые организации — наиболее уязвимое звено: у них меньше ресурсов на информационную безопасность, и именно они реже соблюдают требования законодательства.

Требования к ИП и небольшим юридическим лицам, ведущим образовательную деятельность, в части ПД идентичны требованиям к крупным организациям: уведомить Роскомнадзор, разработать политику, получить корректные согласия, обеспечить защиту данных.

Онлайн-курсы и EdTech-платформы

Онлайн-образование для детей — один из наиболее быстро растущих сегментов российского EdTech. При регистрации на онлайн-курс для ребенка до 14 лет родитель де-факто действует от его имени. Это означает, что:

1. Именно родитель подписывает согласие на обработку персональных данных ребенка.
2. Платформа обязана четко указать, какие данные собираются и с какой целью.
3. Данные не могут передаваться третьим лицам — рекламным сетям, партнерам — без отдельного согласия.

На практике многие онлайн-платформы размещают политику конфиденциальности мелким шрифтом и не разграничивают явно, какие данные о ребенке обрабатываются автоматически (cookies, поведенческие данные, время занятий), а какие — в основном образовательном процессе.

Особое внимание стоит обратить на использование иностранных сервисов. Требования к локализации сведений в 2025 году обязывают организации хранить данные только на российских серверах [4]. Это означает, что российская онлайн-школа, использующая облачную инфраструктуру иностранного провайдера без российских серверов, нарушает закон.

Соревнования, олимпиады, конкурсы

Участие ребенка в соревнованиях или олимпиадах — ситуация, в которой одновременно задействованы несколько операторов: школа, орган управления образованием, организатор конкурса. Данные передаются по цепочке, и на каждое звено нужно отдельное согласие.

Минпросвещения утвердило типовые формы согласий для участников Всероссийской олимпиады школьников. В них предусмотрено согласие на обработку ФИО ребенка, класса и места учебы, даты рождения, гражданства, данных идентификационных документов, результатов участия, а также на фото- и видеосъемку [6].

На участие в конкурсах и олимпиадах, а также на использование фото и видео на общедоступных интернет-страницах школы и организаторов — отдельное согласие требуется в любом случае [3].

Ряд правозащитных организаций указывает на подмену понятий: школы нередко просят подписать широкое «согласие на ОПД» вместо узкого «согласия на публикацию работы», что де-факто открывает доступ к данным ребенка для неограниченного круга лиц [14].

Для спортивных соревнований ситуация аналогична: организаторы запрашивают данные участников, и на передачу этих данных организатору нужно согласие родителей. Минпросвещения разработало специальные формы согласий, в том числе для соревнований с участием детей с ограниченными возможностями здоровья [2].

Что именно собирается и зачем

Минимально необходимые данные vs избыточный сбор

Один из базовых принципов ФЗ-152 — принцип минимизации: оператор вправе обрабатывать только те данные, которые необходимы для достижения конкретной цели. Запрашивать лишнее — нарушение закона.

На практике это означает, что кружок рисования не вправе требовать СНИЛС ребенка (если он не нужен для оформления льгот), а спортивная школа не должна хранить данные о религиозных взглядах семьи. Школа при поступлении не должна запрашивать данные загранпаспорта родителей, если это не связано с международными программами.

Следующие виды данных о ребенке относятся к специальным категориям и требуют явного отдельного согласия:

1. Состояние здоровья — диагнозы, ограничения.
2. Расовая и национальная принадлежность.
3. Религиозные и политические взгляды.
4. Сведения о судимостях — актуально для старших подростков.

Специальные категории: здоровье, биометрия, фото и видео

Фотографии и видеозаписи детей — юридически неоднозначная зона. Цветное цифровое фотографическое изображение лица является биометрическими персональными данными, если используется для идентификации личности [18]. Если школа устанавливает систему распознавания лиц для пропускного режима — это обработка биометрии, требующая письменного согласия и особой защиты.

Судебная практика это подтверждает: в деле школы «Мастерград» в Перми, администрация которой использовала биометрическую систему распознавания лиц для организации пропускного режима, требование Роскомнадзора о прекращении обработки биометрических персональных данных школа не выполнила [17].

Публикация фотографии ребенка на сайте школы, в социальных сетях или в средствах массовой информации также требует согласия — на основании ст. 152.1 ГК РФ о праве на охрану изображения гражданина. За публикацию фотографий детей в интернете без согласия родителей предусмотрена ответственность по ст. 137 Уголовного кодекса РФ [19].

Медицинские данные ребенка, которые собирают школы и секции (группа здоровья, освобождение от физкультуры, психологический профиль), — особая категория данных, требующая максимальной защиты. Их утечка создает риски дискриминации и нарушения прав ребенка.

Цифровизация образования и новые риски

Система «Моя школа» и централизация данных

С марта 2024 года Минцифры собирает персональные данные учеников со всей России в единую систему «Моя школа». Туда направляются сведения о возрасте, поле, дате рождения, данные паспорта или свидетельства о рождении, а также гражданстве учащихся, родителей и учителей [11].

Цель благородная — единый уровень цифровых услуг по всей стране. Но эксперты предупреждают о трудностях с интеграцией систем и росте риска утечек и системных сбоев, которые затронут сразу много регионов [10]. Специалисты в области ИБ указывают, что централизация данных создает одну точку отказа: если произойдет инцидент в федеральной системе, пострадают данные школьников по всей стране одновременно.

В ряде регионов вход в электронный дневник стал возможен только после регистрации в «Моей школе» на портале Госуслуг, что фактически делает передачу данных обязательным условием получения образовательной услуги [22].

Цифровые профили и «траектории» — что за этим стоит

Помимо «Моей школы», в рамках нацпроекта «Образование» продвигается концепция индивидуальных образовательных траекторий. По целям нацпроекта 90% всех школьников России должны были получить цифровой профиль и персональную траекторию обучения с использованием федеральной платформы ЦОС [5].

Цифровой профиль ребенка — это не просто оценки и расписание. В него потенциально входят данные об интересах, успехах во внеурочной деятельности, психологическое тестирование, участие в кружках и секциях, результаты олимпиад. Формируется долгосрочное цифровое досье, которое может влиять на будущее ребенка — поступление в вуз, трудоустройство, кредитный рейтинг.

Проект анкет платформы ЦОС, разработанный Минпросвещения и Минцифры, предусматривал сбор данных о страницах детей и родителей в социальных сетях. Эксперты квалифицировали это как избыточный сбор данных [80].

Ответственность операторов: новый ландшафт санкций с 2024–2025

Два закона, подписанных в ноябре 2024 года, кардинально изменили правовое поле: ФЗ-420 от 30.11.2024 (административная ответственность) и ФЗ-421 от 30.11.2024 (уголовная ответственность) [4, 5].

Административные штрафы — новые уровни с 30 мая 2025

С 30 мая 2025 года штрафы за нарушения при работе с личной информацией могут достигать 20 млн рублей [17]. Ключевые санкции для организаций:

1. За неуведомление Роскомнадзора о начале обработки ПД — от 100 000 до 300 000 рублей.
2. За неуведомление об утечке в течение 24 часов — от 1 до 3 млн рублей.
3. За утечку данных от 1 000 до 10 000 человек — от 3 до 5 млн рублей.
4. За утечку данных от 10 000 до 100 000 человек — от 5 до 10 млн рублей.
5. За утечку более 100 000 записей или биометрических данных — от 15 до 20 млн рублей.
6. При повторной утечке — оборотный штраф от 1% до 3% годовой выручки, минимум 20 млн, максимум 500 млн рублей.
7. За нарушение правил обработки данных — от 150 000 до 300 000 рублей по базовому составу.

Для должностных лиц образовательных организаций — директоров, завучей, сотрудников, ответственных за ПД — предусмотрены отдельные штрафы до 400 000–800 000 рублей за утечку [12].

Отдельная санкция введена за нарушение нового порядка оформления согласий, который вступает в силу с 1 сентября 2025 года. Нарушение установленных требований может повлечь штрафы до 700 000 рублей для организаций и ИП, до 300 000 рублей для должностных лиц [13].

Уголовная ответственность с декабря 2024

С 11 декабря 2024 года Уголовный кодекс РФ пополнился статьей 272.1 [5]. Она устанавливает ответственность за незаконные использование, передачу, сбор и хранение компьютерной информации, содержащей персональные данные, полученной незаконным путем.

Для общей категории данных: штраф до 300 000 рублей или лишение свободы до 4 лет. Те же деяния, совершенные в отношении персональных данных несовершеннолетних лиц, специальных категорий или биометрических данных, наказываются штрафом до 700 000 рублей или лишением свободы на тот же срок [5].

При трансграничной передаче — до 8 лет лишения свободы. При тяжких последствиях или действиях организованной группы — до 10 лет со штрафом до 3 млн рублей.

Данные несовершеннолетних как отягчающее обстоятельство

Законодатель выделяет данные детей в отдельную, повышенно защищаемую категорию. При отягчающих обстоятельствах — корыстная заинтересованность, крупный ущерб, трансграничная передача, данные несовершеннолетних или биометрия — максимальное наказание составляет до 10 лет лишения свободы со штрафом до 3 млн рублей [15].

Это принципиально важно для всех, кто работает с детьми: даже небрежное обращение с базой данных секции или кружка — незащищенная таблица Excel с доступом у всех тренеров — в случае инцидента может иметь уголовные последствия.

Типичные нарушения в образовательной среде

На основе открытой судебной практики и данных Роскомнадзора можно выделить наиболее распространенные нарушения.

Первое — отсутствие опубликованной политики обработки персональных данных на сайте организации. Детская школа искусств осуществляла сбор персональных данных через форму обратной связи на своем сайте, однако документы, определяющие политику в отношении обработки персональных данных, на сайте не были размещены. Результат — штраф и административная ответственность [17].

Второе — использование данных не по цели: например, контактный номер телефона родителя, собранный для связи в учебных целях, используется для рассылки маркетинговых сообщений.

Третье — передача данных третьим лицам: репетиторам, организаторам экскурсий, партнерским организациям без отдельного согласия.

Четвертое — хранение данных в незащищенных системах: общие таблицы в облачных сервисах или Excel на незашифрованных флешках.

Пятое — избыточный сбор: запрос СНИЛС, номера паспорта родителя, данных загранпаспорта для деятельности, которая этого не требует.

Шестое — принудительная биометрия: установка систем распознавания лиц без надлежащего согласия и без уведомления Роскомнадзора.

Седьмое — несвоевременное уведомление об утечке: организация обязана сообщить в Роскомнадзор в течение 24 часов после обнаружения инцидента. Нарушение этого срока — самостоятельный состав с отдельным штрафом [12].

Восьмое — хранение данных дольше установленного срока: после отчисления ребенка или завершения курса данные должны быть уничтожены в разумные сроки.

Девятое — отсутствие уведомления Роскомнадзора о начале обработки ПД. С 30 мая 2025 года штрафы за неподачу уведомления повысились в несколько раз и составляют для организаций от 100 000 до 300 000 рублей [12].

Права родителей и детей: что реально можно сделать

Родитель как законный представитель несовершеннолетнего ребенка до 18 лет обладает широким кругом прав в сфере персональных данных.

Родитель имеет полное право запросить информацию о том, каков точный объем собираемых данных и будут ли они передаваться в другие организации. И если будут, то с какой целью [19].

Перечень прав:

1. Право знать, какие данные собираются, с какой целью, кому передаются и как долго хранятся (ст. 14 ФЗ-152).
2. Право получить доступ к данным ребенка, хранящимся у оператора.
3. Право требовать исправления неточных данных.
4. Право отозвать согласие на обработку данных. После отзыва оператор обязан прекратить обработку и уничтожить данные — за исключением случаев, когда обработка обязательна по закону.
5. Право требовать удаления данных.
6. Право обжаловать действия оператора в Роскомнадзор.
7. Право обратиться в прокуратуру при наличии нарушений.
8. Право на судебную защиту и возмещение ущерба.

Отдельный вопрос — может ли ребенок сам давать согласие на обработку персональных данных. По общему правилу, согласие за детей до 14 лет дают родители. Подростки от 14 до 18 лет могут давать согласие самостоятельно, но с разрешения законных представителей — если иное не предусмотрено законом.

Важный практический момент: отзыв согласия может влечь последствия. Если родители отзовут персональные данные, школа оставит необходимый минимум, чтобы оставалась возможность учить ребенка. Однако все дополнительные услуги ребенку будут недоступны [2].

Чек-лист для родителей

Практические шаги, которые стоит предпринять при подписании любого согласия на обработку персональных данных ребенка:

1. Внимательно прочитать текст согласия — не подписывать «формально».
2. Уточнить, какие конкретно данные будут обрабатываться: список должен быть указан явно.
3. Проверить, указана ли цель обработки — она должна быть конкретной, а не размытой.
4. Узнать, кому данные будут передаваться: третьим лицам, партнерам, организаторам.
5. Уточнить срок хранения данных.
6. Убедиться, что согласие оформлено как отдельный документ, а не «зашито» в общий договор.
7. Сохранить свой экземпляр подписанного согласия.
8. При сомнениях — запросить политику обработки персональных данных организации (она обязана быть опубликована на сайте).
9. При нарушениях — подать жалобу в Роскомнадзор через сайт rkn.gov.ru.
10. При наличии ущерба — обратиться в прокуратуру или суд.

Чек-лист для организаций (школы, кружки, онлайн-школы)

Образовательная организация любого масштаба обязана:

1. Зарегистрироваться как оператор ПД в реестре Роскомнадзора — подать уведомление до начала обработки данных.
2. Разработать и опубликовать на сайте политику обработки персональных данных.
3. Назначить ответственного за обработку персональных данных и обучить его.
4. Провести инвентаризацию: составить перечень всех систем, баз данных и файлов, где хранятся ПД.
5. Убедиться, что для каждой цели обработки оформлено отдельное согласие: учеба — одно, олимпиада — другое, фотографии — третье.
6. Обеспечить хранение данных только на российских серверах.
7. Заключить соглашения о конфиденциальности с сотрудниками, имеющими доступ к ПД.
8. При передаче данных третьим лицам — заключить договор поручения с указанием обязательств по защите.
9. Установить процедуру уведомления Роскомнадзора об утечке в течение 24 часов.
10. Определить сроки хранения данных и обеспечить их уничтожение по истечении срока.
11. Регулярно проводить аудит состояния работы с персональными данными.
12. Проверить, не используются ли иностранные облачные сервисы для хранения данных.

Ошибки и риски

Рассмотрим наиболее распространенные ошибки, которые приводят к реальным последствиям.

Ошибка 1: «Мы маленькая организация, нас это не касается». Требования ФЗ-152 распространяются на все организации без исключения — в том числе на ИП и самозанятых, если они обрабатывают данные клиентов. В первом полугодии 2024 года 51,3% всех утечек информации в России пришлись на ИП и небольшие компании до 50 сотрудников [21].

Ошибка 2: «Мы получили одно общее согласие — этого достаточно». Принцип «одна цель — одно согласие» соблюдается строго. Участие в олимпиаде, съемка для сайта, передача данных организатору поездки — всё это отдельные согласия [9].

Ошибка 3: «Данные хранятся в таблице Excel — это надежно». Незащищенное хранение данных — нарушение требований к безопасности. В случае утечки именно оператор несет ответственность, независимо от того, произошла ли она из-за взлома или небрежности сотрудника.

Ошибка 4: «Мы уже несколько лет работаем без уведомления, и ничего». За неуведомление Роскомнадзора о намерении обрабатывать ПД штраф для организаций составляет от 100 000 до 300 000 рублей [12]. При жалобе или проверке сайта риск санкций возрастает резко.

Ошибка 5: Хранение данных выпускников без оснований. После того как ребенок закончил обучение, большинство его данных должны быть уничтожены. Хранение устаревших баз данных — и риск утечки, и нарушение принципа ограниченного срока хранения.

Ошибка 6: Публикация списков учеников с результатами олимпиад без проверки согласий. Публичный доступ к персональным данным детей без отдельного согласия является нарушением, даже если публикуются только ФИО и место учебы [14].

Тренды: что изменится в 2025–2026

Несколько направлений, за которыми стоит следить.

Первое — ужесточение контроля за образовательными организациями со стороны Роскомнадзора. Регулятор активизирует плановые и внеплановые проверки сайтов образовательных организаций. Отсутствие политики конфиденциальности на сайте — один из первых автоматически выявляемых нарушений.

Второе — новые требования к согласиям с 1 сентября 2025 года. Согласие должно быть оформлено как самостоятельный документ, а не включено в состав иных локальных актов или анкет. Также вступает в силу требование об обязательной передаче обезличенных данных в государственную информационную систему для компаний, участвующих в цифровых инициативах и госпрограммах [13].

Третье — рост числа утечек из сферы образования. В первой половине 2025 года в мировом масштабе из образовательных организаций утекло 65,3 млн записей персональных данных, что на 60,8% больше, чем в аналогичном периоде 2024 года [7]. Тенденция устойчивая.

Четвертое — распространение биометрии в школах. Системы распознавания лиц для контроля доступа и посещаемости внедряются все активнее. Это требует особого внимания к правовому оформлению — специальных письменных согласий и уведомлений регулятора [18].

Пятое — развитие уголовной практики по ст. 272.1 УК РФ. Статья введена в декабре 2024 года, правоприменение только начинает формироваться. В ближайшие 1–2 года стоит ожидать первых уголовных дел, которые создадут прецеденты в сфере обращения с данными несовершеннолетних [5].

Как «Пятый фактор» помогает организациям держать ситуацию под контролем

Одна из ключевых сложностей для любой образовательной организации — невозможность увидеть целостную картину: где именно хранятся персональные данные, кто имеет к ним доступ, появились ли новые базы данных или интеграции, которые никто не контролирует.

Типичная ситуация: методист добавил новое поле «группа здоровья» в CRM-систему — никто не заметил, отдельного согласия не получено. ИТ-специалист настроил интеграцию с внешним сервисом рассылок — данные родителей ушли туда без авторизации. Старые базы выпускников лежат на общем сетевом диске — никто не помнит, когда их должны были уничтожить.

Именно для решения этих задач создана платформа «Пятый фактор» — on-prem решение для автоматического обнаружения, инвентаризации и контроля персональных данных в корпоративных системах: базах данных, хранилищах, почте, Active Directory, CRM, 1С, API.

Ключевое отличие — принцип privacy-by-design: платформа работает только с метаданными, структурой и агрегатами, не передавая и не храня «сырые» персональные данные. Это означает, что само решение не становится новым источником риска.

Для образовательных организаций «Пятый фактор» дает конкретные результаты:

1. Автоматическая карта данных: визуализация того, где и какие ПД хранятся, кто является их владельцем.
2. Раннее обнаружение новых рисков: система замечает появление новых полей, таблиц, интеграций и источников данных прежде, чем они превратятся в нарушение.
3. Готовность к проверкам: аудит занимает дни, а не недели. Организация может в любой момент предоставить полную документацию по своему ПД-ландшафту.
4. Непрерывный контроль: вместо разовых ручных проверок — постоянный мониторинг изменений.

Для школ и образовательных сетей, работающих с большим количеством учеников и родителей, а также подключенных к государственным системам, «Пятый фактор» позволяет минимизировать риск штрафов и уголовной ответственности — которые в новой реальности 2025 года стали вполне реальными для любой организации.

Заключение

Персональные данные детей — это не бюрократическая формальность. За каждой записью в базе данных стоит реальный ребенок, чья информация о здоровье, учебе, увлечениях и семье может быть использована или скомпрометирована.

Законодательство 2024–2025 годов резко повысило ставки для всех участников: организации теперь рискуют штрафами в десятки миллионов рублей и уголовной ответственностью для руководителей и сотрудников. Данные детей выделены в особую категорию с повышенной защитой и повышенными санкциями за нарушения.

Родителям стоит воспринимать согласия на обработку персональных данных не как формальность, а как документ с юридическими последствиями. Читать, задавать вопросы, сохранять копии, знать свои права.

Образовательным организациям — от крупной сети онлайн-школ до небольшого кружка в районном Доме культуры — необходимо навести порядок в работе с данными. Не потому что придет проверка, а потому что за каждой базой данных стоит доверие семей, которые привели к ним своих детей.

Что делать прямо сейчас:

1. Если вы родитель — проверьте, какие согласия вы подписали. Запросите у организаций список данных и цели их использования.
2. Если вы руководитель образовательной организации — проверьте наличие уведомления в Роскомнадзоре, политики конфиденциальности на сайте и актуальности согласий.
3. Если вы ИТ-специалист или специалист по ИБ — проведите инвентаризацию всех мест хранения персональных данных и оцените риски.

Источники

[1] Федеральный закон от 27.07.2006 № 152-ФЗ «О персональных данных» — https://www.consultant.ru/document/cons_doc_LAW_61801/

[2] Роскомнадзор — Памятка по обработке персональных данных образовательными учреждениями — https://42.rkn.gov.ru/p32466/p32470/

[3] Приказ Министерства просвещения РФ от 02.09.2020 № 458 «Об утверждении Порядка приема на обучение» — https://docs.cntd.ru/document/565367117

[4] КонсультантПлюс — Новые штрафы за утечку персональных данных: ФЗ-420 от 30.11.2024 — https://www.consultant.ru/legalnews/27142/

[5] УК РФ Статья 272.1 (введена ФЗ-421 от 30.11.2024) — https://www.consultant.ru/document/cons_doc_LAW_10699/deefead19003ba8266e85fbf42fc31f60ed3c698/

[6] Форма согласия на обработку ПД участника ВсОШ (до 14 лет, Московская область) — https://olympmo.ru/news_img/20242025/vos/sch/soglasie-vos-do-14.pdf

[7] InfoWatch — Утечки данных в сфере образования: мировые и российские тренды, H1 2025 — https://www.infowatch.ru/analytics/daydzhesty-i-obzory/utechki-dannykh-v-sfere-obrazovaniya

[8] InfoWatch — Количество слитых персональных данных в 2024 году выросло на треть — https://www.infowatch.ru/company/presscenter/news/kolichestvo-slitykh-personalnykh-dannykh-v-dve-tysyachi-dvadtsat-chetvertom-godu-vyroslo-na-tret

[9] Интернет-урок — Персональные данные в школе: зачем их собирают и обрабатывают — https://interneturok.ru/blog/posle_urokov/personalnye_dannye_v_shkole

[10] Коммерсантъ — Минцифры собирает данные школьников в федеральную систему — https://www.kommersant.ru/doc/6579481

[11] te-st.org — Персональные данные школьников: кто и как их использует — https://te-st.org/2024/09/04/personal-data-students/

[12] it-pnk.ru — Увеличение штрафов за нарушение законодательства о персональных данных с 30 мая 2025 года — https://it-pnk.ru/news/uvelichenie-shtrafov-pd/

[13] Гарант.ру — Согласие на обработку персональных данных с 1 сентября 2025 года: новые правила — https://www.garant.ru/article/1862510/

[14] ОУЗС — Осторожно: сбор данных в рамках Всероссийской олимпиады школьников — https://ouzs.ru/news/ostorozhno-sbor-dannykh-v-ramkakh-vserossiyskoy-olimpiady-shkolnikov-/

[15] b-152.ru — Закон о персональных данных: что изменилось в 2025–2026 годах — https://b-152.ru/zakon-o-personalnyh-dannyh-2025

[16] Habr — В первой половине 2025 года РКН выявил 35 фактов утечек персональных данных — https://habr.com/ru/news/924602/

[17] КонсультантПлюс — Подборка судебной практики: персональные данные в школе — https://www.consultant.ru/law/podborki/personalnye_dannye_v_shkole/

[18] Роскомнадзор — Письмо от 01.08.2024 № 62450 об обработке биометрических персональных данных — https://www.consultant.ru/document/cons_doc_LAW_483102/

[19] Коммерсантъ — Как защитить персональные данные своего ребенка и почему это важно в 2024 году — https://www.kommersant.ru/doc/4996762

[20] TAdviser — За три года в России утекло 4,5 млрд записей персональных данных — https://www.tadviser.ru/index.php/%D0%A1%D1%82%D0%B0%D1%82%D1%8C%D1%8F:%D0%A3%D1%82%D0%B5%D1%87%D0%BA%D0%B8_%D0%B4%D0%B0%D0%BD%D0%BD%D1%8B%D1%85_%D0%B2_%D0%A0%D0%BE%D1%81%D1%81%D0%B8%D0%B8

[21] InfoWatch — Рост утечек данных в России, аналитический отчет за первое полугодие 2024 года — https://www.infowatch.ru/company/presscenter/news/v-rossii-v-pervom-polugodii-uteklo-pochti-odin-milliard-personalnykh-dannykh

[22] Октагон.Медиа — Школьников поставили на цифровую витрину — https://octagon.media/istorii/shkolnikov_postavili_na_cifrovuyu_vitrinu.html