152-ФЗ о персональных данных в 2026: что обязана сделать онлайн-школа
Запрос 152 фз о персональных данных 2026 сводится к простому вопросу: что онлайн-школа обязана сделать, чтобы законно собирать данные учеников и клиентов. Минимум такой: разработать политику обработки, получать согласия по ст. 9 ФЗ № 152-ФЗ, подать уведомление в Роскомнадзор (ст. 22), назначить ответственного за обработку и обеспечить защиту данных (ст. 19), проверено: июль 2026. После реформы ответственности 2025 года штрафы по ст. 13.11 КоАП РФ выросли до сотен тысяч рублей, а за утечки введены оборотные санкции. Ниже — пошаговый чек-лист для образовательного бизнеса.
Онлайн-школа — это оператор персональных данных по определению: вы собираете имена, телефоны, e-mail, платёжные данные учеников и родителей. Значит, на вас распространяется весь набор обязанностей из закона. В 2026 году требования жёстче, чем пару лет назад: расширен круг операторов, обязанных уведомлять Роскомнадзор, и радикально повышены штрафы. Разберём, что делать.
Статья открывает нашу рубрику о персональных данных для образовательного бизнеса. Отдельные документы мы разбираем детально: например, согласие на обработку данных несовершеннолетнего и родительское согласие.
Кто считается оператором
Оператор — это лицо, которое организует и определяет цели обработки персональных данных (ст. 3 ФЗ № 152-ФЗ, проверено: июль 2026). Онлайн-школа, ИП-репетитор, продюсерский центр — все они операторы, как только собирают контакты и данные клиентов. Форма бизнеса и наличие сайта роли не играют.
Многие предприниматели уверены, что закон касается только крупных компаний с базами на миллионы записей. Это не так, и практика проверок это подтверждает. Даже если вы ведёте одну табличку с двадцатью учениками, вы оператор и обязаны соблюдать требования. Персональные данные — это любая информация, относящаяся к определённому человеку: имя, телефон, e-mail, а иногда и один только никнейм в связке с другими данными.
Отсюда вывод: как только у вас появляется форма заявки, чат с учениками или CRM, включаются обязанности оператора. И проверка Роскомнадзора приходит не к тем, у кого много данных, а к тем, на кого пожаловались или кто попал в план. Размер бизнеса не защищает.
Отдельно стоит держать в голове самозанятых и продюсеров чужих курсов. Если вы запускаете обучение под своим именем, собираете заявки и ведёте переписку с учениками, вы оператор, даже без ООО и штата. А когда в проекте несколько сторон — автор курса, продюсер, платформа, — важно заранее договориться, кто из них оператор, а кто обработчик, и закрепить это в договоре. От этого зависит, кто отвечает перед Роскомнадзором и кто получает жалобы субъектов.
Что изменилось к 2026 году
Ключевые изменения последних лет: расширен круг операторов, обязанных уведомлять Роскомнадзор (ст. 22 152-ФЗ), ужесточена ответственность по ст. 13.11 КоАП РФ и введены оборотные штрафы за утечки персональных данных. Обработка стала дороже в случае нарушений, поэтому формальный подход больше не работает.
Главный сдвиг — в цене ошибки. Раньше штрафы измерялись десятками тысяч рублей и воспринимались как приемлемый риск. После реформы ответственности 2025 года суммы для юридических лиц выросли в разы, а за утечки данных появились оборотные санкции, привязанные к числу пострадавших субъектов.
Второй сдвиг — в обязанности уведомлять Роскомнадзор. Раньше действовал длинный список исключений, под которые попадала половина малого бизнеса: обработка данных собственных работников, обработка без средств автоматизации и другие. Эти послабления фактически убрали, и теперь подать уведомление обязан практически каждый оператор. Для онлайн-школы это означает, что старая логика «мы маленькие, нас это не касается» больше не работает — касается всех, кто ведёт клиентскую базу.
| Направление | Что поменялось | Норма |
|---|---|---|
| Уведомление РКН | Обязанность распространили почти на всех операторов | ст. 22 152-ФЗ |
| Штрафы | Существенно повышены суммы для юрлиц | ст. 13.11 КоАП РФ |
| Утечки | Введены оборотные штрафы | ст. 13.11 КоАП РФ |
| Согласия | Ужесточён контроль формы и содержания | ст. 9 152-ФЗ |
Вывод для онлайн-школы: пакет документов и процессов нужно привести в актуальное состояние, а не откладывать. Дальше — пошаговый минимум, начиная с базового документа.
Политика и документы
Оператор обязан опубликовать документ, определяющий его политику в отношении обработки персональных данных, и обеспечить к нему свободный доступ (ч. 2 ст. 18.1 ФЗ № 152-ФЗ, проверено: июль 2026). Для сайта школы это значит: политика размещена и на неё есть ссылка на каждой странице сбора данных.
Политика обработки персональных данных — фундамент. Без неё все остальные документы повисают в воздухе. В политике описывают, какие данные, с какими целями и на каком основании обрабатываются, как долго хранятся и какие права есть у субъектов. Ссылку на политику размещают рядом с каждой формой сбора данных: под кнопкой заявки, в футере сайта, на странице оплаты. Если человек оставляет контакт, он должен иметь возможность одним кликом открыть и прочитать, что вы будете делать с его данными.
Чек-лист: базовый пакет документов
- ✓ Политика обработки персональных данных (опубликована на сайте)
- ✓ Согласия на обработку под каждую цель
- ✓ Согласие на рассылки (отдельно от обучения)
- ✓ Приказ о назначении ответственного за обработку
- ✓ Положение о защите персональных данных (внутреннее)
- ✓ Договоры (поручения) с обработчиками — CRM, рассылки, эквайринг
Документы должны быть согласованы между собой: цели в политике совпадают с целями в согласиях, перечень обработчиков — с реальными сервисами. Разрозненный набор скачанных шаблонов создаёт больше рисков, чем пользы. Собрать связный пакет помогает аудит по 152-ФЗ и подготовка к Роскомнадзору.
Согласия на обработку
Согласие нужно там, где нет другого правового основания обработки (ст. 6, ст. 9 ФЗ № 152-ФЗ, проверено: июль 2026). Данные для исполнения договора обрабатываются без отдельного согласия, а вот рассылки, ретаргетинг и публикация фото требуют согласия — конкретного, информированного и добровольного.
Ключевой принцип: не собирайте всё в одну галочку. Обучение — на основании договора, реклама — на отдельном согласии, публикация изображений — ещё одно согласие. Так родитель или ученик может согласиться на нужное и отказаться от лишнего, а вы избегаете упрёка в навязывании (ч. 4 ст. 9 152-ФЗ).
ФЗ № 152-ФЗ: требования к согласию — конкретное, предметное, информированное, однозначное
Особый случай — данные детей. Если ваша аудитория младше 14 лет, согласие даёт законный представитель. Мы разобрали это отдельно в материалах про родительское согласие. Собирать согласия удобно электронно — активным чекбоксом с логированием факта: кто, когда и на какую версию документа согласился.
Ещё один момент, о котором забывают, — специальные категории данных. Сведения о здоровье, например справка для спортивной секции или данные об особенностях развития ребёнка, относятся к специальной категории (ст. 10 ФЗ № 152-ФЗ) и требуют более строгого режима: их обрабатывают только при наличии согласия в письменной форме и по узкому перечню оснований. Не запрашивайте такие данные без реальной необходимости — чем меньше чувствительной информации в вашей базе, тем ниже риск и проще комплаенс.
Уведомление Роскомнадзора
Оператор обязан уведомить Роскомнадзор о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ № 152-ФЗ, проверено: июль 2026). С 2025 года прежние исключения фактически сняты, поэтому онлайн-школа, ведущая базу клиентов, под это требование попадает.
Уведомление подаётся через сайт Роскомнадзора или на бумаге. В нём указывают оператора, цели обработки, категории данных и субъектов, перечень действий, сведения о трансграничной передаче и мерах защиты. После подачи оператор попадает в реестр операторов персональных данных.
Чек-лист: что указать в уведомлении
- ✓ Наименование и реквизиты оператора
- ✓ Цели обработки данных
- ✓ Категории данных и субъектов
- ✓ Перечень действий с данными
- ✓ Правовое основание обработки
- ✓ Меры по защите данных
- ✓ Сведения о трансграничной передаче (если есть)
Неподача уведомления — самостоятельное нарушение с отдельным штрафом, не связанное с тем, правильно ли оформлены ваши согласия. Это одна из первых вещей, которую проверяют, поэтому не откладывайте.
Важно и поддерживать уведомление в актуальном виде. Если у вас меняются цели обработки, категории данных или появляется трансграничная передача (например, вы переходите на зарубежный сервис рассылок), сведения в реестре нужно обновить. Уведомление — не разовая формальность, а отражение того, что реально происходит с данными в вашей школе. Расхождение между реестром и практикой проверяющий трактует не в вашу пользу.
Защита данных и ответственный
Оператор обязан принимать меры для защиты персональных данных от неправомерного доступа, уничтожения и распространения (ст. 19 ФЗ № 152-ФЗ, проверено: июль 2026) и назначить ответственного за организацию обработки (ст. 18.1). Для онлайн-школы это организационные и технические меры плюс конкретный человек, отвечающий за процесс.
Защита данных — не только про антивирус. Это набор мер: разграничение доступа сотрудников, надёжные пароли, шифрование, договоры поручения с сервисами-обработчиками, порядок реагирования на инциденты. Особенно важно, когда в базе есть данные детей.
ФЗ № 152-ФЗ: обязанность обеспечить безопасность персональных данных при обработке
Ответственный за обработку — обязательная фигура. Это может быть сотрудник или руководитель, но его нужно назначить приказом и наделить полномочиями. Он контролирует соблюдение требований и взаимодействует с субъектами и Роскомнадзором. Как встроить защиту данных в запуск продукта, мы разбираем в разделе документы для старта.
Отдельного внимания требует работа с подрядчиками. Когда вы передаёте данные учеников в CRM, сервис рассылок или облачное хранилище, каждый такой подрядчик становится обработчиком, и с ним нужно заключить договор поручения (ч. 3 ст. 6 ФЗ № 152-ФЗ). В договоре фиксируют перечень действий, цели и обязанность обработчика соблюдать те же требования к защите данных. Без такого договора передача данных сервису формально ведётся без основания, и ответственность за это несёте вы как оператор, а не подрядчик.
Штрафы и как их избежать
Нарушения в области персональных данных наказываются по ст. 13.11 КоАП РФ. После реформы 2025 года штрафы для юридических лиц выросли до сотен тысяч рублей, а за утечки введены оборотные санкции. Избежать их дешевле, чем платить: базовый комплаенс стоит кратно меньше одного штрафа.
Соберём типовые нарушения онлайн-школ и способ закрыть каждое — на практике почти все они устраняются одним аккуратно собранным пакетом документов и настроенным процессом сбора данных.
| Нарушение | Как закрыть | Норма |
|---|---|---|
| Нет политики на сайте | Разработать и опубликовать | ст. 18.1 152-ФЗ |
| Нет согласий или они общие | Развести цели по отдельным согласиям | ст. 9 152-ФЗ |
| Не уведомили РКН | Подать уведомление до обработки | ст. 22 152-ФЗ |
| Нет мер защиты | Ввести орг- и техмеры, назначить ответственного | ст. 19, 18.1 152-ФЗ |
КоАП РФ: основной состав ответственности; за утечки — оборотные штрафы
Практический порядок действий для школы: сначала политика и уведомление в Роскомнадзор, затем согласия под каждую цель, потом меры защиты и назначение ответственного. Такой минимум закрывает большинство рисков. О защите самого образовательного продукта — в разделе защита курсов.
Не гонитесь за объёмом ради объёма. Иногда предприниматели скачивают гигантские шаблоны на сорок страниц и считают, что теперь защищены. На деле работает не толщина папки, а соответствие документов реальному процессу: какие данные вы на самом деле собираете, куда их передаёте, как долго храните. Лучше короткий, но точный пакет, чем красивый набор бумаг, который противоречит тому, что происходит на сайте.
И последнее: комплаенс по 152-ФЗ — это не разовое действие, а поддерживаемое состояние. Запустили новый сервис, добавили цель обработки, сменили платформу — проверьте, что политика, согласия и уведомление всё ещё соответствуют реальности. Раз в год стоит проводить короткую ревизию документов и форм. Так вы встречаете любую проверку спокойно, а не в режиме аврала за одну ночь до визита инспектора.
Приведём вашу школу в соответствие с 152-ФЗ
Разработаем политику, согласия и уведомление в Роскомнадзор под ваш реальный процесс — без лишних документов и штрафных рисков.
Статья подготовлена на основе законодательства РФ на июль 2026 года. Для консультации по вашему случаю обратитесь к специалисту.
Частые вопросы
Онлайн-школа обязана уведомлять Роскомнадзор?
Да. Оператор уведомляет Роскомнадзор о намерении обрабатывать персональные данные до начала обработки (ст. 22 ФЗ № 152-ФЗ). С 2025 года прежние исключения фактически сняты, и школа, которая ведёт базу клиентов, под требование попадает.
С чего начать приведение школы в соответствие с 152-ФЗ?
С политики обработки персональных данных и уведомления Роскомнадзора. Затем — согласия под каждую цель, меры защиты по ст. 19 и назначение ответственного за обработку по ст. 18.1 ФЗ № 152-ФЗ.
Нужно ли согласие, если данные собираются для договора?
Данные, необходимые для исполнения договора об оказании услуг, обрабатываются на основании ст. 6 ФЗ № 152-ФЗ без отдельного согласия. Отдельное согласие нужно для рассылок, ретаргетинга и публикации фото.
Какие штрафы грозят по 152-ФЗ в 2026 году?
Ответственность наступает по ст. 13.11 КоАП РФ. После реформы 2025 года штрафы для юрлиц выросли до сотен тысяч рублей, а за утечки данных введены оборотные санкции. Точную сумму уточняйте по актуальной редакции КоАП РФ.
Считается ли ИП-репетитор оператором персональных данных?
Да. Оператор — это любое лицо, определяющее цели обработки данных (ст. 3 ФЗ № 152-ФЗ). ИП, который собирает контакты учеников, — оператор и несёт те же обязанности, что и компания.