Кейсы Полезные статьи Направления Тарифы О проекте
Войти Попробовать бесплатно

152-ФЗ для онлайн-школ: как не получить штраф до 6 млн рублей

Олег Никитин 9 мин чтения

Если у вашей онлайн-школы есть сайт с формой регистрации, вы уже оператор персональных данных по 152-ФЗ. С 30 мая 2025 года штрафы за нарушения выросли в разы: до 6 млн рублей за первое нарушение и до 18 млн за повторное. Оборотные штрафы за утечку данных могут достигать 3% годовой выручки. Разбираем, что конкретно нужно сделать, чтобы не попасть под санкции.

Есть иллюзия, что 152-ФЗ касается только крупных компаний. На практике закон касается всех, у кого на сайте есть хотя бы одна форма с полем «имя» и «email». Онлайн-школа на 50 учеников и Skillbox с миллионной аудиторией — по закону одинаково операторы персональных данных.

В марте 2026 года появились первые судебные решения по новым штрафам: онлайн-школа, у которой утекли данные 70 000 учеников, получила штраф по ч. 13 ст. 13.11 КоАП от 5 до 10 млн рублей. И это при том, что суды пока относятся к нарушителям лояльно.

Давайте разберёмся, что вам нужно сделать, чтобы такого не случилось.

Кто считается оператором персональных данных

По 152-ФЗ оператор — это любое лицо, которое определяет цели и способы обработки персональных данных. Если у вас на сайте есть форма регистрации, форма оплаты, подписка на рассылку, чат с поддержкой или даже просто Яндекс.Метрика — вы оператор. Это касается ООО, ИП и даже самозанятых.

Персональные данные — это не только паспортные данные. Это всё, что позволяет определить конкретного человека: имя, email, номер телефона, IP-адрес, cookies, данные об устройстве.

Что именно собирает типичная онлайн-школа:

При регистрации — имя, email, телефон. При оплате — всё то же плюс платёжные данные (их обрабатывает платёжная система, но вы тоже участвуете в цепочке). Через аналитику — cookies, IP-адрес, поведение на сайте, тип устройства. Через CRM — история покупок, статус ученика, результаты обучения. Через рассылку — email, имя, история открытий и кликов.

Всё это персональные данные. И всё это регулируется 152-ФЗ.

Какие штрафы действуют с 2025 года

С 30 мая 2025 года штрафы за нарушение 152-ФЗ выросли в 10–20 раз. Федеральный закон № 420-ФЗ от 30.11.2024 ввёл новую шкалу: от 30 000 рублей за мелкие нарушения до оборотных штрафов в процентах от выручки за утечку данных. Для онлайн-школ самые частые штрафы — за отсутствие политики обработки ПДн, неуведомление РКН и некорректное получение согласия.

Вот конкретные цифры для юридических лиц по ст. 13.11 КоАП:

Нет политики обработки ПДн на сайте: штраф от 30 000 до 60 000 рублей.

Обработка ПДн без согласия или с неправильным согласием: штраф от 300 000 до 700 000 рублей. При повторном нарушении — до 1,5 млн рублей.

Не уведомили Роскомнадзор о начале обработки: штраф от 100 000 до 300 000 рублей.

Не уведомили РКН об утечке данных: штраф от 1 до 3 млн рублей.

Утечка данных (от 1 000 до 10 000 субъектов): штраф от 3 до 5 млн рублей.

Утечка данных (от 10 000 до 100 000 субъектов): штраф от 5 до 10 млн рублей.

Утечка данных (свыше 100 000 субъектов): штраф от 15 до 20 млн рублей.

Повторная утечка: оборотный штраф от 1% до 3% годовой выручки. Минимум 20 млн, максимум 500 млн рублей.

Важно: отвечает всегда оператор, то есть вы. Даже если данные утекли через подрядчика, виновным будет тот, кто собирал данные и передал их.

Что должно быть на сайте онлайн-школы

По 152-ФЗ на сайте обязательно должна быть политика обработки персональных данных, доступная по прямой ссылке (ст. 18.1). На каждой форме, где собираются данные, должен быть чекбокс согласия со ссылкой на политику. Если на сайте есть трекеры (аналитика, пиксели), нужно cookie-уведомление.

Минимальный набор для любой онлайн-школы:

  1. Политика обработки персональных данных с 12 обязательными блоками
  2. Чекбокс согласия на каждой форме
  3. Cookie-уведомление (если есть аналитика)
  4. Реквизиты оператора (ИНН, название, адрес, email для запросов)

Политика — не формальность. Роскомнадзор проверяет содержание: указаны ли цели обработки, категории данных, сроки хранения, перечень сторонних сервисов, кому передаются данные. Шаблон из интернета может не содержать половины обязательных пунктов.

Подробный чек-лист всех документов для сайта — в нашей отдельной статье.

Уведомление Роскомнадзора

Перед началом обработки персональных данных оператор обязан уведомить Роскомнадзор через портал pd.rkn.gov.ru. Это бесплатно и занимает 15–20 минут. Штраф за отсутствие уведомления с 30 мая 2025 года — от 100 000 до 300 000 рублей для юридических лиц.

Что указывать в уведомлении:

Наименование и адрес оператора. Цели обработки (предоставление образовательных услуг, маркетинг, аналитика). Категории субъектов (ученики, сотрудники, подрядчики). Категории данных (ФИО, email, телефон, платёжные данные). Правовые основания (согласие, договор, законный интерес). Меры безопасности (шифрование, разграничение доступа). Сведения о трансграничной передаче (если используете зарубежные сервисы).

Как проверить, есть ли ваше уведомление: зайдите на pd.rkn.gov.ru/operators-registry/operators-list/ и найдите свою организацию по ИНН.

Если уведомления нет — подайте сейчас. Это можно сделать онлайн через портал Госуслуг или напрямую на сайте РКН.

Согласие на обработку по новым правилам

С 1 сентября 2025 года вступили в силу поправки к ст. 9 152-ФЗ, которые ужесточили требования к согласию. Оно должно быть конкретным (указаны цели и перечень данных), информированным (есть ссылка на политику) и сознательным (чекбокс не предзаполнен). Штраф за нарушение порядка получения согласия — до 700 000 рублей.

Что изменилось на практике:

Раньше можно было обойтись общей формулировкой «я согласен на обработку персональных данных». Теперь согласие должно содержать конкретные цели, для которых собираются данные. Если вы собираете email для доступа к курсу и для рассылки — это две разные цели, и согласие на каждую нужно получать отдельно.

Важные правила для чекбоксов на сайте:

Галочка не должна стоять по умолчанию. Предзаполненный чекбокс не считается согласием.

Текст должен быть конкретным. Не «согласен на обработку ПДн», а «согласен на обработку имени и email для предоставления доступа к курсу [название] в соответствии с Политикой обработки ПДн».

Если нужно согласие на рассылку — это отдельный чекбокс. Нельзя в одном согласии смешивать обработку для оказания услуги и для рекламы.

Должна быть возможность отозвать согласие. Укажите, как это сделать: email, форма на сайте, личный кабинет.

Роскомнадзор считает cookies персональными данными, если они позволяют идентифицировать пользователя. Яндекс.Метрика, Google Analytics, Meta Pixel, reCAPTCHA, VK Pixel — все эти инструменты собирают cookies. Если они есть на вашем сайте, нужен cookie-баннер с возможностью отказа.

Что должен содержать cookie-баннер:

Информацию о том, что сайт использует cookies. Ссылку на cookie-политику (отдельный документ или раздел в политике ПДн). Кнопку «Принимаю». Желательно кнопку «Отклоняю» или возможность выбрать категории cookies.

Техническая сторона: в идеале трекеры не должны загружаться до согласия пользователя. На практике большинство сайтов загружают аналитику сразу, а баннер показывают для информирования. Это не полностью соответствует закону, но снижает риски при проверке.

Проверьте, какие трекеры стоят на вашем сайте: откройте DevTools в браузере (F12), вкладка Network, и посмотрите, какие сторонние домены загружаются. Каждый из них нужно упомянуть в политике ПДн.

Хранение данных на серверах в РФ

152-ФЗ требует, чтобы персональные данные граждан РФ при сборе хранились на серверах в России (ст. 18 ч. 5). Если ваш сайт на зарубежном хостинге, а база данных учеников на Amazon или DigitalOcean — это нарушение. Штраф для юрлиц — от 1 до 6 млн рублей, при повторном нарушении — от 6 до 18 млн.

Что проверить:

Где находится хостинг сайта. Российские провайдеры: Selectel, Timeweb, REG.RU, Beget. Если ваш сайт на Vercel, Netlify, AWS — данные хранятся за рубежом.

Где находится база данных. Даже если сайт на российском хостинге, CRM может быть зарубежной. Проверьте, где физически хранятся данные.

Где хранит данные платёжная система. YooKassa, CloudPayments, Тинькофф — серверы в РФ. Stripe, PayPal — за рубежом.

Где хранит данные сервис рассылки. Mailchimp, SendGrid — серверы за рубежом. Unisender, SendPulse (с российскими серверами) — подходят.

Важно: передавать данные за рубеж можно, если вы получили на это отдельное согласие субъекта и страна-получатель обеспечивает адекватную защиту. Но первичная обработка и хранение должны быть в России.

Подрядчики и передача данных

Если вы передаёте данные учеников сторонним сервисам (CRM, платёжная система, email-рассылка, хостинг), вы обязаны заключить с каждым из них договор поручения на обработку ПДн (ст. 6 ч. 3 152-ФЗ). Без такого договора передача данных считается неправомерной.

С кем нужен договор поручения:

Платёжная система (YooKassa, CloudPayments). CRM-система (amoCRM, Bitrix24). Сервис рассылок (Unisender, SendPulse). Платформа обучения (GetCourse, Bizon365). Хостинг-провайдер. Аналитика (Яндекс.Метрика — обрабатывает данные по своим условиям). Чат-боты и виджеты на сайте.

Каждый из этих сервисов получает персональные данные ваших учеников. По закону вы должны:

  • Убедиться, что у подрядчика есть политика обработки ПДн
  • Заключить договор поручения или убедиться, что условия обработки прописаны в основном договоре
  • Упомянуть подрядчика в вашей политике на сайте (в разделе «кому передаются данные»)

Проверьте договоры с текущими подрядчиками: есть ли в них раздел про обработку персональных данных? Если нет — нужно подписать дополнительное соглашение.

Пошаговый план: привести школу в порядок за неделю

Если вы прочитали статью и понимаете, что у вас не всё в порядке — вот конкретный план действий. Каждый шаг можно сделать за 1–2 дня.

День 1–2: Политика на сайте
Составьте или обновите политику обработки ПДн. Убедитесь, что в ней 12 обязательных блоков и перечислены все сторонние сервисы, которым передаются данные. Разместите на сайте по прямой ссылке.

День 2–3: Чекбоксы согласия
Проверьте каждую форму на сайте: регистрация, оплата, подписка, обратная связь. На каждой должен быть чекбокс без предзаполненной галочки, с конкретным текстом и ссылкой на политику.

День 3–4: Cookie-баннер
Если на сайте есть аналитика или трекеры, добавьте cookie-уведомление с кнопками принятия и отклонения.

День 4–5: Проверка хостинга и подрядчиков
Убедитесь, что сервер в России. Проверьте договоры с подрядчиками на наличие условий по обработке ПДн.

День 5–6: Аудит
Пройдите по сайту как пользователь. Зарегистрируйтесь, оплатите (тестово), подпишитесь на рассылку. На каждом шаге проверяйте: видно ли согласие, есть ли ссылка на политику, работает ли cookie-баннер.

День 7: Уведомление РКН
Зайдите на pd.rkn.gov.ru и подайте уведомление об обработке ПДн. Если уведомление уже есть, проверьте, что оно актуально (указаны все цели и категории данных). Теперь, когда всё на сайте в порядке, уведомление будет отражать реальное положение дел.

Частые ошибки

«У нас маленькая школа, нас не проверят.» Роскомнадзор проводит проверки по жалобам. Достаточно одного недовольного ученика, который напишет обращение.

«Мы скопировали политику у конкурентов.» Политика должна отражать вашу реальную деятельность: ваши цели, ваши данные, ваших подрядчиков. Чужая политика не защитит при проверке.

«Мы используем GetCourse/Tilda, они всё делают за нас.» Платформа обрабатывает данные по вашему поручению. Ответственность как оператора остаётся на вас. Вам всё равно нужна своя политика, чекбоксы и уведомление в РКН.

«Cookies — это не персональные данные.» Роскомнадзор считает иначе. Если cookie позволяет отличить одного пользователя от другого (а любой аналитический cookie это делает), это персональные данные.

Статья подготовлена на основе актуального законодательства РФ на март 2026 года, с учётом поправок ФЗ № 420-ФЗ от 30.11.2024 (вступили в силу 30.05.2025) и изменений в ст. 9 152-ФЗ (вступили в силу 01.09.2025). Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.

Не хотите разбираться сами?

ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.

Попробовать бесплатно →