Среднестатистическая школа за учебный год успевает собрать и обработать тысячи записей о ребёнке и его семье. Это и анкеты при приёме, и медицинские сведения, и оценки, и логи входа в электронный журнал, и данные видеонаблюдения. В одной системе сходятся данные несовершеннолетних, родителей, педагогов, подрядчиков, а ещё — обязательная передача сведений о документах об образовании в ФИС ФРДО.

Такое пересечение делает образование «идеальным штормом» с точки зрения рисков утечки и нарушения прав субъектов персональных данных.

В 2026 году ключевые зоны риска для образовательных организаций выглядят так:

• биометрия в школе;

• ФИС ФРДО;

• онлайн-ДПО с массовым сбором паспортных данных;

• роль педагога как фактического оператора персональных данных.

При этом на сферу одновременно действуют общие требования 152‑ФЗ и отраслевое регулирование — 273‑ФЗ, 436‑ФЗ, а также значительный массив подзаконных актов Минпросвещения, Рособрнадзора и Роскомнадзора.

Правовой ландшафт 2026: не только 152-ФЗ

273-ФЗ «Об образовании» как отраслевой базис

В образовании правовой каркас держится на связке двух законов: 152‑ФЗ «О персональных данных» и 273‑ФЗ «Об образовании в РФ».

273‑ФЗ определяет статус обучающихся, родителей и педагогов. Он же устанавливает обязанности по ведению документации, организации образовательного процесса и передаче сведений в государственные информационные системы.

Для обработки персональных данных в школе, колледже или вузе обычно работают два основания одновременно:

• исполнение закона (273‑ФЗ и подзаконных актов);

• договор (об образовании, оказании платных услуг, трудовой договор).

Это важный момент: согласие родителей на обработку персональных данных нужно далеко не всегда. Если обработка идёт во исполнение прямой нормы закона, она допускается без согласия по статье 6 152‑ФЗ.

436-ФЗ: защита детей от вредной информации и контроль Рособрнадзора

436‑ФЗ вводит особый режим защиты детей от информации, причиняющей вред их здоровью и развитию. Закон возлагает на образовательные организации конкретные обязанности:

• фильтрация интернет-трафика;

• маркировка информационной продукции;

• организация контролируемого доступа детей к сети.

Для защиты персональных данных в образовании это означает необходимость логировать действия пользователей, идентифицировать обучающихся и педагогов в школьных сетях, увязывать меры информационной безопасности с требованиями 152‑ФЗ к защите ПДн в информационных системах.

При проверках Рособрнадзор по 436‑ФЗ оценивает работу с контентом, но фактически под прицел попадают и практики обработки персональных данных: учёт, журналы, профили пользователей, сетевые политики.

Новеллы 2025–2026: ФЗ‑86 о ДПО, приказ № 315, изменения в постановление № 1019

Федеральный закон № 86‑ФЗ от 21.04.2025 внёс изменения в статьи 3 и 47 273‑ФЗ. Он уточнил требования к дополнительному профессиональному образованию, в том числе для лиц, осуществляющих педагогическую деятельность.

С 1 сентября 2025 года значение дополнительного профессионального образования педагогов усилилось. А это значит — вырос объём обработки данных слушателей ДПО: паспортные данные, сведения об образовании, результаты аттестации.

Приказ Минпросвещения России от 17.04.2025 № 315 утвердил перечень организаций, осуществляющих научно-методическое сопровождение. Фактически документ формирует ориентиры по программам повышения квалификации, включая тематику обработки персональных данных и защиты детей в цифровой среде.

Параллельно продолжается обновление подзаконной базы по защите ПДн и экспериментам в сфере искусственного интеллекта — через изменения в постановление № 1019 и новые требования к обезличиванию персональных данных, утверждённые в 2025 году.

Локализация данных: базы должны быть в РФ

С 2025 года требование обрабатывать персональные данные граждан РФ на серверах, расположенных на территории России, закреплено жёстко. Исключений мало.

Для школ и вузов это означает: электронные журналы, системы дистанционного обучения, облачные сервисы оценивания, видеоконференции с хранением записей — всё это должно обеспечивать локализацию данных в РФ.

Исключения по статье 6 152‑ФЗ (исполнение международного договора, осуществление правосудия, транспорт и др.) к типичным образовательным процессам применимы ограниченно. Поэтому трансграничная передача школьных ПДн в зарубежные облака — это высокий риск нарушения.

При выборе внешней платформы оператор обязан оценить, где физически размещены серверы и как обеспечивается защита персональных данных.

Субъекты персональных данных в образовании: кто есть кто

Обучающиеся: дети и совершеннолетние студенты

Для несовершеннолетних обучающихся действует особый режим. Все юридически значимые решения, связанные с обработкой их персональных данных — согласия, обращения, отказы — принимают законные представители. И так до достижения ребёнком 14 или 18 лет, в зависимости от правовой ситуации.

Категория данных здесь шире, чем кажется. Помимо ФИО и контактных сведений это:

• успеваемость и посещаемость;

• данные о здоровье (питание, медицинские группы);

• результаты психолого-педагогической диагностики;

• фото- и видеоматериалы.

Совершеннолетние студенты дают согласие самостоятельно. Но образовательная организация всё равно обязана чётко разводить правовые основания: где обработка идёт по закону и договору, а где требуется отдельное согласие — например, на публикацию фотографий на сайте.

Законные представители: их данные — тоже ПДн

Данные родителей и опекунов — это полноценные персональные данные. ФИО, паспортные данные, телефоны, электронная почта, место работы, статус законного представителя. Школа обрабатывает их как в рамках исполнения закона, так и договора.

Эти данные фигурируют в заявлениях, договорах, журналах посещений, системе пропусков, переписке через электронный дневник.

Важно: при организации массового общения в мессенджерах и родительских чатах школа чаще всего не выступает оператором. Но как минимум должна рекомендовать не размещать в них чувствительные персональные данные и избегать рассылки документов с паспортными данными.

Педагоги и сотрудники

Педагогические и иные работники обрабатываются как субъекты персональных данных в рамках трудовых отношений. Это личные дела, кадровые документы, сведения о зарплате, квалификации, результатах аттестации.

Но есть и вторая сторона. Каждый педагог, ведущий личные дела, электронный журнал или классное руководство, сам является лицом, осуществляющим обработку персональных данных. Это прямо подтверждено письмом Роскомнадзора от 03.04.2024 № 08‑89532.

Отсюда — обязанности работодателя: обучать, инструктировать, устанавливать персональную ответственность за нарушение режима защиты персональных данных.

Выпускники и слушатели ДПО

Данные выпускников обрабатываются дольше всех остальных. Сведения о выданных документах об образовании и квалификации вносятся в ФИС ФРДО по постановлению Правительства РФ № 825. И здесь действует законное основание: образовательная организация обязана выполнять требования постановления, даже если выпускник больше не состоит с ней в договорных отношениях.

Слушатели ДПО, особенно онлайн-курсов, имеют смешанный статус. С одной стороны — заказчики платных услуг. С другой — участники образовательных отношений с жёсткими требованиями к идентификации личности и подтверждению образования. Это серьёзно усиливает нагрузку по защите их паспортных данных и сведений о дипломах.

Таблица: категории субъектов и согласие

Биометрия в образовании: тренд 2026 и зона повышенного риска

Турникеты с распознаванием лиц: закон против реальности

В 2024–2026 годах многие регионы пилотируют и внедряют биометрические системы доступа. Турникеты с распознаванием лиц, камеры у входа — это уже не фантастика, а повседневность.

Биометрические персональные данные — это специальная категория. Они позволяют однозначно идентифицировать человека по физиологическим или биологическим характеристикам: лицу, отпечаткам, голосу.

Обработка такой информации требует отдельного письменного согласия субъекта или его законного представителя по статье 11 152‑ФЗ. Исключений мало, и они прямо предусмотрены законом.

Для биометрии в школе действует жёсткий принцип: система добровольна. Если альтернативный доступ не предусмотрен, биометрия превращается в фактическое принуждение.

Единая биометрическая система и школы

Для банков и финансового сектора Единая биометрическая система (ЕБС) устанавливает обязательное централизованное хранение биометрии, запрет локального хранения и жёсткие требования к операторам сбора.

В отношении школ прямой обязанности работать через ЕБС пока нет. Но общая логика регулирования биометрии и указания ЦБ формируют тренд: локальные базы лиц в школе — это «серый» и высокорисковый сценарий. Использование аккредитованных операторов и централизованных решений выглядит гораздо более защищённым.

Важно: даже при использовании ЕБС образовательная организация не освобождается от обязанностей по информированию, получению согласий и обеспечению альтернативных способов доступа.

Кейс: «Дети ползут под турникетом»

[КЕЙС]

В музыкальной школе установили турникеты с распознаванием лиц. Несколько родителей принципиально отказались сдавать биометрию ребёнка. Альтернативный проход не предусмотрели. Чтобы попасть на занятия, дети буквально пролезали под турникетом — охрана закрывала глаза.

Такая ситуация несёт сразу несколько рисков:

• нарушение добровольности согласия и запрет на ограничение прав при отказе от биометрии (ст. 5, 11 152‑ФЗ);

• угроза безопасности жизни и здоровью ребёнка;

• основания для жалобы в Роскомнадзор и прокуратуру, предписания и штрафы.

Альтернативный доступ: как обеспечить юридически и технически

Альтернативный доступ не должен быть имитацией. Это полноценный способ входа без биометрии:

• отдельный турникет по карте;

• пропуск по журналу;

• ПИН-код;

• обычный проход через охрану с регистрацией по документу.

Всё это нужно закрепить в локальных актах: положении о пропускном режиме, политике обработки персональных данных, инструкции для охраны. И предусмотреть в техническом задании при закупке системы.

[НОРМА]

Биометрическая система доступа в образовательной организации может применяться только на добровольной основе.

Для несовершеннолетних требуется письменное согласие законного представителя на обработку биометрических персональных данных. В согласии должны быть чётко указаны цели, способы обработки, сроки хранения и порядок отзыва.

При отказе от биометрии запрещено ухудшать положение обучающегося, ограничивать его доступ к обучению или иные права.

[ПРАКТИЧЕСКАЯ РЕКОМЕНДАЦИЯ]

В форму согласия на биометрию для школы включите:

• формулировку, что доступ в здание возможен и без предоставления биометрии (опишите альтернативный способ);

• отдельное поле, где родитель подтверждает, что проинформирован об альтернативе и может в любой момент отозвать согласие без негативных последствий для ребёнка;

• порядок уничтожения (удаления) биометрии и контакт ответственного за персональные данные.

Педагог как оператор персональных данных

Что сказал Роскомнадзор в 2024 году

Письмо Роскомнадзора от 03.04.2024 № 08‑89532 сказало однозначно: каждый педагогический работник, ведущий личные дела, электронные и классные журналы, осуществляет обработку персональных данных.

Учитель — это не «просто пользователь дневника». Это лицо, к которому применимы требования 152‑ФЗ и локальных актов оператора.

Письмо подчёркивает: образовательная организация обязана организовать информирование и обучение педагогических работников по вопросам обработки и защиты персональных данных.

Обязанность обучать и инструктировать

Статья 18.1 152‑ФЗ прямо обязывает оператора персональных данных принимать правовые, организационные и технические меры по защите данных. Включая обучение сотрудников, допущенных к персональным данным.

Для школы это означает:

• прописать в локальных актах перечень должностей, имеющих доступ к ПДн;

• разработать инструкции по работе с журналами, списками, личными делами, электронными носителями;

• оформлять ознакомление под подпись;

• проводить повторный инструктаж — минимум раз в год или при изменении процессов.

С 2025 года игнорирование этой обязанности рассматривается как отягчающий фактор при назначении штрафов по статье 13.11 КоАП.

Программы повышения квалификации для учителей

Рынок дополнительного профессионального образования предлагает специализированные курсы для педагогов по обработке персональных данных. Порталы вроде «Единыйурок.рф», программы МГУ, ТУСУР, региональных педуниверситетов включают модули о 152‑ФЗ, 273‑ФЗ, рисках цифровой среды.

Эти программы позволяют штатному ответственному за персональные данные формировать ядро компетенций среди учителей, классных руководителей, администраторов систем дистанционного обучения.

Рекомендация: включите обработку персональных данных в корпоративный план повышения квалификации педагогов на 2026–2027 годы. Особенно для тех, кто активно использует электронные журналы, мессенджеры и онлайн-сервисы.

[КЕЙС]

В 2026 году Роскомнадзор оштрафовал колледж на 300 тысяч рублей. Причина: преподаватель хранил на личной флешке сканы паспортов и СНИЛС 150 студентов.

Учителю никто не объяснил, что перенос персональных данных на личные носители запрещён локальными актами и противоречит требованиям безопасности. В итоге ответственность понесло юридическое лицо и руководитель. Но триггером проверки стала именно ошибка одного педагога.

[ПРАКТИЧЕСКАЯ РЕКОМЕНДАЦИЯ]

Краткая памятка педагогу:

• не храните списки с паспортами и СНИЛС на личных флешках, телефонах, в «домашних» облаках;

• не пересылайте документы с персональными данными через незащищённые мессенджеры;

• закрывайте экран рабочего места при уходе, не передавайте логин и пароль от электронного журнала;

• любые новые формы учёта и опросов согласовывайте с ответственным за ПДн до запуска;

• при утрате носителя или ошибочной рассылке немедленно сообщите руководству и ответственному за ПДн.

ФИС ФРДО: обязанность, от которой нельзя отказаться

Постановление № 825: кто, когда и какие данные передаёт

Постановление Правительства РФ от 31.05.2021 № 825 утвердило Правила формирования и ведения ФИС «Федеральный реестр сведений о документах об образовании и (или) о квалификации, документах об обучении» — ФИС ФРДО.

Образовательные организации обязаны вносить сведения обо всех выданных документах об образовании и квалификации в установленные сроки.

Что передаётся:

• ФИО выпускника;

• дата рождения;

• сведения о документе (номер, серия, дата выдачи);

• уровень образования;

• иногда — СНИЛС и иные идентификаторы по требованиям Рособрнадзора.

Правовое основание — закон, согласие выпускника не требуется

Правовое основание для передачи данных в ФИС ФРДО — прямое предписание закона и постановления Правительства. Не согласие выпускника.

Однако в 2024 году Рособрнадзор в информационном письме указал: при отсутствии согласия на обработку персональных данных образовательная организация не должна вносить сведения в реестр. Это вызвало дискуссии.

С учётом части 2 статьи 6 и статьи 98 273‑ФЗ образовательная организация вправе продолжать обработку персональных данных выпускника и без согласия, когда это необходимо для выполнения возложенных законом обязанностей.

Практический подход 2026 года: лучше организовать информирование и получить добровольное согласие, но быть готовыми обосновать законность обработки и при его отсутствии.

Технические требования к защите каналов

Передача данных в ФИС ФРДО должна осуществляться по защищённым каналам. Требуется использование сертифицированных средств криптографической защиты и выполнение требований по защите персональных данных в информационных системах.

В рекомендациях и интеграционных материалах указывается:

• необходимость применять российские крипто-средства, сертифицированные ФСБ;

• учёт требований постановления № 1119 к защите ПДн в ИСПДн;

• аттестация рабочих мест и организация защищённого сегмента для работы с ФИС ФРДО.

Рекомендации Рособрнадзора 2024–2025 гг.

В пояснениях 2024–2025 годов Рособрнадзор обращает внимание на:

• корректность внесения сведений;

• работу со СНИЛС;

• порядок действий при отказе выпускника от обработки персональных данных.

Ведомство предлагает различать ситуацию отзыва согласия и первоначального отказа. Однако правовая позиция по обязательности внесения данных при наличии законного основания остаётся спорной.

[ВАЖНО 2026]

Невнесение сведений в ФИС ФРДО при отсутствии достаточных правовых оснований для отказа может рассматриваться как нарушение требований 273‑ФЗ и постановления № 825. Это чревато мерами со стороны Рособрнадзора.

Параллельно возможны претензии со стороны Роскомнадзора при нарушении требований 152‑ФЗ к защите персональных данных при взаимодействии с ФИС ФРДО.

Дополнительное профессиональное образование: новые правила с 2025 года

ФЗ‑86 от 21.04.2025: что изменилось для онлайн-школ и ДПО

Федеральный закон № 86‑ФЗ, вступивший в силу с 1 сентября 2025 года, усилил требования к дополнительному профессиональному образованию. Особенно — для педагогических работников и лиц, желающих заниматься педагогической деятельностью.

Фактически закон легализует рост доли онлайн-ДПО и одновременно повышает требования к идентификации слушателей и учёту их образовательного статуса.

Онлайн-школы ДПО вынуждены перерабатывать политику обработки персональных данных, договоры и формы согласий. Массовый ввод паспортных данных и сведений об образовании до начала обучения становится стандартом.

Паспортные данные и диплом об образовании — обязательны для допуска к обучению

Для допуска к ряду программ ДПО, особенно педагогических, требуется подтверждение уровня образования и личности слушателя. Это предполагает сбор паспортных данных и копий документов об образовании до начала обучения.

Это не просто условие договора. Это требование закона и подзаконных актов, без выполнения которого организация не вправе выдавать документы установленного образца.

Соответственно, сбор таких персональных данных опирается на законное основание — исполнение 273‑ФЗ и 86‑ФЗ. Согласие слушателя нужно скорее для прозрачности и дополнительных операций: маркетинга, публикации отзывов.

Основание: закон, а не только договор или согласие

Вопрос «можно ли продолжать обучение и выдать диплом, если слушатель онлайн-курса ДПО отозвал согласие на обработку персональных данных?» решается через анализ статей 6 и 9 152‑ФЗ.

Ответ: да, можно.

При наличии договора и прямых норм 273‑ФЗ и 86‑ФЗ оператор вправе продолжать обработку персональных данных в объёме, необходимом для исполнения договора и закона, даже после отзыва согласия.

Отзыв согласия прекращает только те операции, которые опирались исключительно на согласие: рассылки, маркетинг, открытую публикацию.

Таким образом, дополнительное профессиональное образование обрабатывает персональные данные в двойном режиме:

• по закону и договору — «жёсткий» контур;

• по согласию — «маркетинговый» контур.

Особенности отзыва согласия в процессе обучения

[КЕЙС]

Онлайн-школа ДПО получает от слушателя заявление в середине курса: «Отзываю согласие на обработку персональных данных». Организация в панике: неужели нужно удалить все данные и прекратить обучение?

Правильный подход:

1. Объяснить слушателю, что для исполнения договора и требований 273‑ФЗ его данные будут обрабатываться в минимально необходимом объёме до окончания обучения и срока хранения, установленного законом.

2. Прекратить обработку по необязательным целям: рассылки, реклама, публичные отзывы — и зафиксировать это в ответе.

Документальная нагрузка: что должно быть у каждой образовательной организации

Минимальный набор документов, без которых обработка персональных данных в школе или любом другом образовательном учреждении в 2026 году выглядит уязвимой:

1. Политика обработки персональных данных — публичный документ на сайте.

2. Положение (регламент) об обработке и защите ПДн — внутренний документ.

3. Приказ о назначении ответственного за организацию обработки ПДн.

4. Реестр процессов обработки ПДн — цели, категории субъектов, состав данных, правовые основания, сроки.

5. Перечень информационных систем персональных данных (ИСПДн) и их классификация по уровням защищённости.

6. Инструкции (памятки) для педагогов и администраторов по работе с ПДн.

7. Формы согласий:

   • для родителей и законных представителей;

   • для работников;

   • для слушателей ДПО;

   • на биометрию;

   • на распространение и публикацию.

8. Журнал учёта обращений субъектов и действий по ним.

9. Договоры поручения на обработку ПДн — с операторами питания, охраны, СДО, внешними поставщиками электронных журналов, подрядчиками по ФИС ФРДО.

10. Уведомление в Роскомнадзор об обработке ПДн (и подтверждение его подачи, при необходимости — обновлённое).

11. Акты уничтожения (обезличивания) ПДн — по истечении сроков хранения или при отзыве согласия, если обработка не может быть продолжена по закону.

Уведомление Роскомнадзора: когда подавать и как обновлять

Оператор обязан уведомить Роскомнадзор о намерении осуществлять обработку персональных данных до начала такой обработки. Исключения есть, но они прямо указаны в статье 22 152‑ФЗ.

Для современных школ и вузов исключение «только неавтоматизированная обработка» практически не работает. Электронные журналы, системы дистанционного обучения и другие информационные системы делают автоматизированную обработку фактом.

Изменения в сведениях — цели, категории ПДн, меры защиты, ответственный и т.д. — должны отражаться в уведомлении в установленные сроки. Ориентир «до 15 числа месяца, следующего за месяцем изменения» логически согласуется с общей практикой корректировки сведений и письмами-разъяснениями.

Локальные акты: как связать политику с реальными процессами

Политика не должна быть «мёртвой». Описанные в ней принципы должны совпадать с тем, как реально работают:

• электронные журналы;

• системы дистанционного обучения;

• видеонаблюдение;

• пропускной режим;

• взаимодействие с подрядчиками.

Полезный приём: составьте карту процессов. Приём в детский сад, перевод, аттестация, выпуск, работа с жалобами — для каждого процесса укажите:

• какие персональные данные собираются;

• где хранятся;

• кто имеет доступ;

• на каком основании.

Свяжите политику, положения, должностные инструкции и реальные IT-системы. Это снизит риск «бумажного комплаенса» и неприятных нестыковок при проверках.

Права родителей и обучающихся: как отвечать на запросы

Право на доступ к данным ребёнка

Родители и обучающиеся имеют право запросить сведения о том:

• какие персональные данные обрабатываются;

• откуда они получены;

• в каких целях используются;

• кому передаются.

Образовательная организация обязана предоставить такую информацию в разумный срок. Обычно это 10–30 дней — в зависимости от сложности запроса и локальных регламентов.

Важно организовать учёт всех запросов и ответов. Журнал обращений — это доказательство для Роскомнадзора, что права субъектов соблюдаются.

Право на удаление и конфликт с обязанностью хранения

Требование удалить данные не всегда может быть удовлетворено. Когда обработка основана на законе — ФИС ФРДО, архивное хранение личных дел, журналы, ведомости — образовательная организация обязана отказать в удалении, объяснив правовые основания.

При этом нужно:

• ограничить обработку только необходимыми целями и сроками;

• избыточные данные — уничтожить или обезличить.

Отдельное внимание — архивным срокам хранения школьной документации. Их нужно сверять с требованиями архивного законодательства и не сокращать под давлением запросов «удалить всё».

Отзыв согласия: что происходит с данными в ФИС ФРДО?

Отзыв согласия не влечёт автоматического удаления данных из ФИС ФРДО, если их обработка продолжается на основании закона и постановления Правительства.

ФИС ФРДО функционирует как государственная информационная система. Образовательная организация не имеет полномочий произвольно удалять записи из реестра.

[ПРАКТИЧЕСКАЯ РЕКОМЕНДАЦИЯ]

Шаблон ответа на запрос родителя об удалении сведений из ФИС ФРДО:

• укажите на правовую обязанность организации формировать и передавать сведения в ФИС ФРДО (ссылки на постановление № 825 и 273‑ФЗ);

• объясните, что отзыв согласия ограничивает лишь дополнительные операции, но не отменяет обязанность хранения и предоставления сведений, если это предусмотрено законом;

• предложите ограничить использование данных по необязательным целям (маркетинг, публикации) и подтвердите гарантии их защиты.

Риски, проверки и ответственность в 2026 году

Кто проверяет: Роскомнадзор, Рособрнадзор, прокуратура

Роскомнадзор осуществляет государственный контроль за соблюдением требований 152‑ФЗ. Под его надзором — школы, вузы и провайдеры ДПО.

Рособрнадзор контролирует соблюдение 436‑ФЗ и требований к информационной безопасности детей, а также выполнение образовательных стандартов. Это косвенно затрагивает обработку персональных данных.

Прокуратура имеет право проводить проверки по обращениям граждан — например, по фактам утечки баз данных учеников или незаконной публикации их персональных данных.

Мораторий на плановые проверки — но внеплановые возможны

Постановление Правительства РФ № 336 ввело мораторий на плановые проверки. К 2024 году его продлили, но исключение сделано для объектов высокого риска и случаев угрозы жизни и здоровью граждан.

Для образования это означает: при инцидентах с утечкой персональных данных детей, массовых жалобах родителей или публикации вредной информации внеплановая проверка возможна независимо от моратория.

Индикаторы риска:

• утечки баз данных;

• жалобы на биометрию;

• сообщения в СМИ и соцсетях;

• выявление небезопасного контента в школьных сетях.

Размеры штрафов по статье 13.11 КоАП

Статья 13.11 КоАП РФ предусматривает значительные штрафы за нарушения требований к обработке персональных данных. Для юридических лиц — до нескольких миллионов рублей, в зависимости от состава правонарушения и повторности.

К 2026 году суды активно поддерживают повышенные штрафы. Особенно при утечках данных детей и использовании персональных данных без правового основания.

Дополнительно возможна ответственность за нарушение требований 436‑ФЗ и 273‑ФЗ. При особо тяжких последствиях — привлечение по статье 272 УК РФ (неправомерный доступ к компьютерной информации).

Репутационные риски

Утечка базы учеников с адресами, телефонами, маршрутами и расписанием — это не только риск штрафа. Это угроза безопасности детей, которая неминуемо приводит к общественному резонансу.

Родители обращаются в СМИ, прокуратуру и силовые органы. Вопрос из «бумажного» быстро становится уголовно-правовым.

Для руководителя это означает персональную ответственность за организацию защиты персональных данных и серьёзное давление на репутацию школы или вуза в профессиональном сообществе.

Чек-лист готовности образовательной организации к 2026 году

Для самопроверки руководителя или ответственного за персональные данные в образовании:

1. Назначен ли приказом ответственный за обработку ПДн? Должно быть чёткое описание полномочий и задач.

2. Подано ли и актуализировано уведомление в Роскомнадзор? Сведения должны отражать реальные процессы и информационные системы.

3. Разработана ли и опубликована политика обработки ПДн? Документ должен быть понятен родителям и обучающимся.

4. Ведётся ли реестр процессов обработки ПДн? С указанием целей, оснований и сроков хранения.

5. Оформлены ли договоры поручения с операторами питания, охраны, СДО, поставщиками электронных журналов, интеграторами ФИС ФРДО?

6. Разработана ли памятка для педагогов о работе с ПДн? Проведён ли инструктаж под подпись?

7. Исключено ли использование личных флешек, мессенджеров и «домашних» облаков для персональных данных? Если нет — есть ли запреты и альтернативы?

8. Получены ли согласия родителей на обработку и распространение ПДн (фото, видеосъёмка, публикация работ)? Предусмотрен ли отказ без последствий для ребёнка?

9. Используются ли биометрические турникеты? Если да — обеспечен ли альтернативный доступ и корректные формы согласия?

10. Организована ли защита каналов при передаче данных в ФИС ФРДО? Есть ли криптография, аттестованы ли рабочие места?

11. Ведутся ли журналы учёта обращений субъектов ПДн? Есть ли регламент работы с запросами родителей и обучающихся?

12. Проведена ли оценка соответствия ИСПДн требованиям постановления № 1119 и иных актов по защите ПДн?

13. Обновлены ли локальные акты с учётом изменений 2024–2025 годов в 152‑ФЗ и практике Роскомнадзора?

14. Обеспечена ли локализация персональных данных на серверах в РФ при использовании внешних сервисов, СДО и видеоконференций?

15. Закреплены ли сроки хранения и порядок уничтожения ПДн? Есть ли акты уничтожения, процедуры обезличивания?

Заключение

Образование — одна из немногих сфер, где в одном месте сходятся интересы государства, детей и родителей. И объём обрабатываемых данных здесь постоянно растёт.

В 2026 году защита персональных данных в школе, колледже, вузе и системе ДПО — это уже не формальная папка с положениями. Это живая система управления данными, встроенная в ежедневные процессы.

Биометрия в школе, ФИС ФРДО и онлайн-ДПО серьёзно усиливают ответственность руководителя. Каждое новое решение — турникет, платформа для электронного журнала, веб-сервис для занятий — должно оцениваться через призму 152‑ФЗ, 273‑ФЗ, 436‑ФЗ и текущей практики надзора.

Важно помнить главное: данные ученика — это не просто строчка в журнале. Это его цифровая личность. И обязанность образовательной организации — защищать её не хуже, чем физическую безопасность ребёнка.