Политика обработки персональных данных для онлайн-школы: что обязательно по закону

Олег Никитин 2 апреля 2026 11 мин чтения

Политика обработки персональных данных — обязательный документ для любой онлайн-школы, у которой есть сайт с формой регистрации, оплаты или подписки. По ч. 2 ст. 18.1 152-ФЗ документ должен содержать не менее 12 конкретных разделов, и большинство бесплатных шаблонов из интернета этим требованиям не соответствуют. Штраф за политику, не соответствующую закону, — от 30 000 до 60 000 рублей по ч. 3 ст. 13.11 КоАП.

Представьте: клиент пожаловался в Роскомнадзор, что не может понять, как удалить свои данные. Инспектор заходит на ваш сайт и первым делом открывает политику конфиденциальности. Там — вода из шаблона 2019 года: общие слова про «защиту данных», ни одного конкретного третьего лица (а у вас AmoCRM, GetResponse и Robokassa), сроки хранения не указаны. Штраф выписан за 15 минут.

Разберём, что именно должно быть в политике, какие ошибки встречаются чаще всего и как проверить свой документ самостоятельно. Если хотите сразу увидеть весь список требований к документам на сайте — читайте статью про обязательные документы для сайта онлайн-школы в 2026 году.

Почему шаблон из интернета опасен

Большинство бесплатных шаблонов политики конфиденциальности написаны до 2022 года и не учитывают ни изменения 152-ФЗ последних лет, ни специфику вашего бизнеса. РКН при проверке сравнивает содержание политики с реальной практикой сайта — если в документе не упомянут сервис рассылок, который вы используете, это нарушение, даже если всё остальное написано правильно.

Главная проблема шаблонов — они обобщены. Написать «мы обрабатываем данные в целях оказания услуг» — значит ничего не написать. 152-ФЗ требует указывать конкретные цели для каждой категории данных. «Имя и email — для отправки подтверждения заказа и предоставления доступа к личному кабинету» — вот правильная формулировка.

Вторая проблема — устаревшие нормы. В 2022-2024 годах в 152-ФЗ вносились изменения: выросли штрафы, появились новые требования к трансграничной передаче, изменился порядок уведомления РКН об утечках. Подробнее обо всех санкциях — в статье 152-ФЗ для онлайн-школ: как не получить штраф до 6 млн рублей. Шаблон 2019 года об этих изменениях не знает.

Третья проблема — нет ваших систем. У вашей школы AmoCRM, GetResponse, Tilda, Robokassa, Яндекс.Метрика? Все они — третьи лица, которым вы передаёте персональные данные клиентов. По закону это нужно явно указать в политике. В шаблоне этого нет, потому что автор шаблона не знал, какие сервисы используете именно вы.

Скачать шаблон, вставить название своей компании и опубликовать — это не выполнение требований закона. Это создание видимости их выполнения. Роскомнадзор такую видимость видит насквозь.

Кто обязан публиковать политику

Публиковать политику обработки персональных данных обязан каждый оператор — любое лицо (ООО, ИП или самозанятый), которое собирает, хранит или использует персональные данные физических лиц. Если у вас есть сайт с любой формой — регистрации, оплаты, подписки, обратной связи — вы оператор и документ обязателен.

Это следует из ч. 2 ст. 18.1 152-ФЗ: оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить к нему неограниченный доступ. Документ должен быть размещён на сайте — как правило, в подвале страницы — и открываться без регистрации.

Форма организации не имеет значения. ООО, ИП, самозанятый, НКО — все обязаны. Важно только одно: вы собираете персональные данные. Даже если у вас нет сотрудников и вы работаете как репетитор через сайт — форма записи на урок уже создаёт это обязательство.

60 000 руб.
максимальный штраф за нарушение требований к политике обработки ПДн (ч. 3 ст. 13.11 КоАП)

Помимо публикации политики, каждый оператор обязан уведомить Роскомнадзор о том, что обрабатывает персональные данные. Это отдельная процедура — подробнее о ней читайте в материале про уведомление РКН об обработке персональных данных.

12 обязательных разделов политики по 152-ФЗ

Роскомнадзор разработал методические рекомендации, в которых перечислил, что должна содержать политика обработки персональных данных. Список состоит из 12 блоков. Если хотя бы одного нет — документ считается неполным, и это основание для штрафа по ч. 3 ст. 13.11 КоАП.

N	Раздел	Что должно быть написано
1	Общие положения	Полное наименование оператора (ООО / ИП), ИНН, адрес, контактный email или телефон
2	Категории субъектов и перечень ПДн	Кто — клиенты, ученики, посетители сайта. Какие данные — имя, email, телефон, платёжные данные, IP-адрес
3	Цели обработки	Конкретные цели для каждой категории данных. «Оказание услуг» не принимается
4	Правовые основания	Согласие субъекта, исполнение договора, законная обязанность — со ссылкой на нормы
5	Способы обработки	Сбор, систематизация, хранение, передача, уничтожение — с указанием автоматизированной и ручной обработки
6	Сроки обработки и хранения	Конкретные сроки или критерии их определения для каждой категории данных
7	Передача третьим лицам	Перечень всех получателей: CRM, платёжные системы, сервисы рассылок, рекламные платформы, аналитика
8	Трансграничная передача	Если данные передаются на серверы в других странах — отдельный раздел с указанием стран и оснований
9	Права субъектов ПДн	Право на доступ, исправление, удаление, отзыв согласия — и порядок их реализации
10	Обеспечение безопасности	Какие меры приняты: шифрование, ограничение доступа сотрудников, защищённые соединения
11	Порядок отзыва согласия	Как субъект может отозвать согласие: через email, форму на сайте — с указанием срока исполнения
12	Актуальность и изменения	Дата последнего обновления и порядок уведомления об изменениях политики

Особое внимание — разделу 7. Именно он вызывает больше всего вопросов при проверках. Если вы используете любой из этих сервисов, его нужно указать явно: AmoCRM, Битрикс24, GetResponse, Unisender, Robokassa, ЮKassa, Яндекс.Метрика, Google Analytics, Getcourse, Tilda. Передача данных в CRM при заполнении формы на лендинге — это уже передача третьим лицам.

Смотрите определения ключевых понятий 152-ФЗ в глоссарии ЭдПрав.

Типичные ошибки, которые находит РКН

При проверках онлайн-школ и образовательных платформ Роскомнадзор чаще всего выявляет одни и те же пять нарушений в политике конфиденциальности. Большинство из них можно исправить самостоятельно за 2-3 часа, если знать, на что смотреть.

Ошибка 1. Слишком общие цели обработки

«В целях оказания образовательных услуг» — такая формулировка ни о чём не говорит инспектору. 152-ФЗ требует конкретики: для какой категории данных и какова цель. Правильно: «Имя, фамилия и email — для предоставления доступа к личному кабинету и отправки уведомлений о статусе заказа». Ещё правильнее — перечислить несколько целей отдельно: исполнение договора, направление информационных рассылок (если есть отдельное согласие), ведение статистики посещений.

Ошибка 2. Нет перечня третьих лиц

Вы используете сервисы, которым фактически передаёте данные клиентов. Robokassa получает данные при оплате. GetResponse — email и имя при подписке на рассылку. AmoCRM — контактные данные потенциальных учеников при заполнении формы на лендинге. Все эти компании должны быть перечислены в разделе о передаче третьим лицам с указанием, какие данные им передаются и на каком основании.

Ошибка 3. Не указаны сроки хранения

Типичная фраза в шаблонах: «данные хранятся до достижения целей обработки». Это не срок — это ничего. Укажите конкретику: данные клиентов хранятся 5 лет с момента последней транзакции (для налоговой отчётности), данные кандидатов — 1 год с момента обращения, данные подписчиков рассылки — до момента отписки плюс 1 год.

Ошибка 4. Нет описания прав субъекта и порядка их реализации

Клиент имеет право знать, какие данные вы о нём храните, потребовать их исправления или удаления. Если в политике не написано, как воспользоваться этими правами — это нарушение. Минимум: укажите email для обращений и срок ответа. По закону — 30 дней с момента получения запроса.

Ошибка 5. Политика не обновлялась с 2022 года

В 2022-2024 годах в 152-ФЗ внесли существенные изменения. Появились требования к трансграничной передаче, изменился порядок уведомления РКН об утечках, выросли санкции. Если ваша политика не содержит упоминания об этих требованиях или написана по старым нормам — она устаревшая. Проверьте дату последнего обновления в конце документа.

Как вы оформляете договорные отношения с клиентами тоже влияет на содержание политики. Если у вас публичная оферта — а у большинства онлайн-школ именно она — в политике нужно упомянуть, что акцепт оферты является одним из оснований обработки данных. Подробнее об оферте читайте в пошаговом руководстве по составлению оферты для онлайн-курса.

Как Роскомнадзор проверяет политику

РКН проверяет политику конфиденциальности тремя способами: в рамках плановых проверок операторов из реестра, по жалобам клиентов и через автоматический мониторинг сайтов. В последнем случае алгоритм ищет наличие ссылки на политику в подвале сайта и проверяет базовое содержание документа.

Плановые проверки проводятся раз в 3 года. Если вы включены в реестр операторов ПДн — а после подачи уведомления вы там есть — рано или поздно к вам могут прийти. Инспектор запросит документы, проверит сайт и сверит политику с реальной практикой обработки данных.

Жалобы клиентов — самый частый триггер внеплановой проверки. Клиент написал в РКН, что не может понять, как удалить свои данные. Инспектор открывает политику: есть ли раздел о правах субъекта? Указан ли email для обращений? Нет — предписание и штраф. Именно поэтому раздел о правах субъекта и контактах для обращений критически важен.

Автоматический мониторинг: РКН периодически запускает обход сайтов, особенно после жалоб в определённой отрасли. В 2024 году была волна проверок именно в сфере онлайн-образования. Алгоритм проверяет наличие ссылки на политику на каждой странице и основное содержание документа.

Важный момент: политика должна быть доступна с любой страницы сайта — в подвале или через ссылку в меню. Если документ скрыт или открывается только после регистрации — это уже нарушение требования об «обеспечении неограниченного доступа» из ч. 2 ст. 18.1 152-ФЗ.

Если вы используете cookie-файлы (а их используют все сайты с Яндекс.Метрикой или Google Analytics), рекомендуем также проверить требования к cookie-политике и cookie-баннеру для сайта онлайн-школы. Это отдельный документ, который часто путают с политикой ПДн.

Правила о рекламе тоже пересекаются с темой персональных данных: если вы используете пиксели для ретаргетинга, прочитайте материал о законе «О рекламе» для EdTech — там объясняем, как это влияет на требования к согласиям.

Чек-лист: проверьте политику за 10 минут

Откройте вашу политику конфиденциальности и последовательно проверьте 10 пунктов. Если хотя бы один не выполнен — документ нужно обновить. Для небольших школ это занимает 2-3 часа самостоятельно или 30 минут с помощью сервиса ЭдПрав.

Чек-лист: политика обработки персональных данных

✓ Документ доступен с любой страницы сайта (ссылка в подвале или в меню)
✓ Указан оператор: полное наименование (ООО / ИП), ИНН, адрес, email для обращений
✓ Перечислены категории субъектов: клиенты, ученики, посетители сайта
✓ Перечислены конкретные данные по каждой категории: имя, email, телефон, IP-адрес и т.д.
✓ Цели обработки описаны конкретно — не просто «оказание услуг»
✓ Указаны правовые основания: согласие, исполнение договора, законная обязанность
✓ Перечислены все третьи лица: CRM, сервисы рассылок, платёжные системы, аналитика
✓ Указаны конкретные сроки хранения данных для каждой категории
✓ Описан порядок реализации прав субъекта: как подать запрос, срок ответа (30 дней)
✓ Дата последнего обновления документа — не ранее 2023 года

Если у вас есть трансграничная передача данных — серверы Google, Cloudflare, сервисы из США или Европы — добавьте 11-й пункт: отдельный раздел о трансграничной передаче с указанием стран и правовых оснований. После изменений 2022 года это требование стало обязательным для операторов, чьи данные хранятся или обрабатываются за рубежом.

Если у вас наёмные преподаватели или подрядчики — они тоже субъекты персональных данных. Требования к обработке их данных такие же. Подробнее о правовом оформлении преподавателей — в статье ГПХ vs трудовой договор для преподавателя онлайн-школы.

Ответы на частые вопросы по 152-ФЗ — в FAQ ЭдПрав. Сравните варианты помощи — смотрите тарифы на сервис ЭдПрав.

Частые вопросы

Можно ли включить политику обработки ПДн в оферту?

Нет, это два разных документа с разными требованиями. Оферта регулирует договорные отношения с клиентом: предмет, стоимость, права и обязанности сторон. Политика ПДн — отдельный документ, который по закону должен быть доступен неограниченному кругу лиц, в том числе тем, кто на сайте ничего не купил. РКН не принимает ссылку на оферту как замену политике. О том, что должно быть в оферте, читайте в отдельном материале.

Может ли одна политика покрывать несколько сайтов или школ?

Один документ может распространяться на несколько сайтов, если оператор один и тот же — одно ООО или один ИП. Если у вас два разных юридических лица, у каждого должна быть своя политика со своими реквизитами. При этом каждый сайт должен иметь доступную ссылку на документ своего оператора.

Как часто нужно обновлять политику?

Нет требования обновлять её «раз в год». Но обновление обязательно при любом из этих событий: изменились законодательные требования, появились новые категории обрабатываемых данных или третьи лица, изменились цели обработки, изменились реквизиты оператора. После каждого обновления меняйте дату в документе и храните историю версий на случай проверки.

Не хотите разбираться сами?

ЭдПрав проверит политику обработки персональных данных для вашей онлайн-школы. Справочные вопросы к AI-юристу бесплатно, без ограничений. Персонализированная проверка с верификацией юристом от 396 руб. за запрос.

Попробовать бесплатно ->

Статья подготовлена на основе актуального законодательства РФ на апрель 2026 года. Для получения консультации по вашему конкретному случаю рекомендуем обратиться к специалисту.

Не хотите разбираться сами?

ЭдПрав проверит ваш сайт и подготовит все необходимые документы. От 396 ₽ за запрос.

Попробовать бесплатно →