Образовательные платформы и онлайн-школы: согласия от несовершеннолетних

Почему онлайн-школам приходится перестраивать согласия

Образовательные платформы и онлайн-школы находятся в непростом положении сразу по двум причинам. Во-первых, аудитория включает несовершеннолетних – а значит, согласие на обработку персональных данных должно подчиняться правилам статьи 9 ФЗ-152 и статьи 64 Семейного кодекса РФ. Во-вторых, сама модель образовательного сервиса предполагает длительное взаимодействие с учеником: сбор не только контактных данных, но и учебной истории, успеваемости, записей уроков, поведенческих метрик.

Для взрослых пользователей (старше 18 лет) согласие оформляется по общей схеме, как для любого SaaS. Для детей и подростков действуют дополнительные ограничения, вплоть до обязательного письменного согласия родителей на обработку специальных категорий и передачу данных третьим лицам.

Кто считается несовершеннолетним и какие это влечёт обязанности

Согласно статье 26 ГК РФ дети до 14 лет – малолетние, от 14 до 18 – несовершеннолетние. Для обработки персональных данных ФЗ-152 не содержит отдельной категории «ребёнок», но через отсылку к гражданскому законодательству фактически выделяет две ступени:

  • До 14 лет: согласие даёт только законный представитель (родитель, опекун)
  • 14–18 лет: согласие даёт сам ребёнок с письменного согласия родителей. Исключение – бытовые сделки и распоряжение своим заработком
  • С 18 лет: согласие даётся самостоятельно

Для онлайн-школы это означает: если на платформе обучаются школьники младших классов (6–14 лет), все формы регистрации и оплаты должны заполняться родителем, а согласие на обработку – оформляться на имя родителя с указанием ребёнка как субъекта.

Кейс 2025 года: крупная онлайн-платформа по подготовке к ЕГЭ получила предписание РКН на сумму 250 000 ₽. Причина – регистрация детей 12-13 лет без подтверждения согласия родителей. Платформа просила при регистрации лишь отметить чекбокс «Мне больше 18 или со мной согласны родители» – РКН квалифицировал это как недостаточную проверку согласия.

Правильная схема регистрации ребёнка на онлайн-школе

  1. Регистрация начинается с родителя – вводит свои контакты и подтверждает право действовать в интересах ребёнка
  2. Родитель заполняет форму на обработку собственных ПДн (как плательщика и законного представителя)
  3. Родитель отдельно подписывает письменное согласие на обработку ПДн ребёнка с указанием ФИО, даты рождения и перечня обрабатываемых сведений
  4. Подтверждение согласия – через Госуслуги, квалифицированную электронную подпись, либо скан подписанной формы + двухфакторная идентификация родителя
  5. В личном кабинете ребёнка – отдельный профиль с ограниченным функционалом (без доступа к оплате, к истории оплат, к персональным данным других пользователей)

Подростки 14–18 лет: тонкая грань

Для возраста 14–18 лет практика сложнее. С одной стороны, подросток может сам регистрироваться, оплачивать бытовые сделки, давать согласие на обработку своих ПДн. С другой – любое серьёзное согласие (например, на передачу данных маркетинговым партнёрам или на публикацию фото/видео с занятий) требует письменного согласия родителей.

Рекомендуемая схема для аудитории 14–18 лет

  • Подросток самостоятельно регистрируется и подтверждает возраст
  • При регистрации указывается email родителя – туда отправляется уведомление о регистрации ребёнка
  • Базовое согласие на обработку ПДн для обучения – подросток даёт сам
  • Согласие на рекламу, публикацию, передачу данных третьим лицам – требуется подтверждение родителя
  • В личном кабинете родителю доступна информация о платежах и прогрессе ребёнка

Какие данные собирает типичная онлайн-школа

Категория данных Цель обработки Правовое основание
ФИО, дата рождения, школа/класс Идентификация, подбор программы Согласие субъекта (или родителя)
Email, телефон Коммуникация, напоминания Согласие субъекта
История посещений, результаты заданий Оценка прогресса, выдача сертификата Исполнение договора образовательных услуг
Видеозапись лица во время тестов (прокторинг) Защита от списывания Согласие на обработку биометрии
Аудиозаписи голоса (для языковых школ) Оценка произношения Согласие на обработку биометрии
История чата с преподавателем Сопровождение обучения, разбор претензий Исполнение договора
Сведения о состоянии здоровья Особенности обучения (ОВЗ, ослабленное зрение) Письменное согласие на спецкатегории

Биометрия и прокторинг: отдельный сложный блок

Многие онлайн-школы используют системы прокторинга во время экзаменов и важных тестов – когда камера фиксирует лицо ученика, отслеживает его поведение, при необходимости блокирует подозрительные действия. Это обработка биометрических персональных данных (часть 1 статьи 11 ФЗ-152), требующая:

  • Отдельного письменного согласия на обработку биометрии (статья 11 ч.1 прямо это требует)
  • Уведомления в РКН о цели и способе обработки
  • Шифрования биометрических образцов при хранении и передаче
  • Обработки только на серверах в РФ
  • Особого режима доступа – только для проктора и системы автоматической верификации

Варианты реализации прокторинга

  1. Фиксация лица на старте экзамена – однократная проверка идентичности, биометрический образец удаляется сразу после
  2. Непрерывная запись видео на время экзамена – требует более строгого согласия, длительное хранение
  3. Сравнение с фотографией при регистрации – сохраняется только хеш лицевого шаблона

Для школ с аудиторией несовершеннолетних рекомендуется минимизировать прокторинг: использовать только на итоговых экзаменах, а не на всех тестах, и применять вариант с разовой фиксацией лица.

Запись уроков и согласие на публикацию

Многие школы записывают живые уроки для последующего просмотра учениками. Запись содержит голос преподавателя, голоса учеников, иногда – их лица (если включены камеры). Без явного согласия учеников и родителей такая запись – обработка ПДн без правового основания.

Правильная организация записи

  • Перед стартом курса – согласие ученика/родителя на запись и использование записи внутри платформы
  • Отдельное согласие – если запись будет использоваться в маркетинговых материалах (трейлер курса, публикация на сайте)
  • Возможность посмотреть только своё участие – технически невозможно, но можно предоставить право запросить удаление своего голоса и видео из записи
  • Хранение записи – на серверах в РФ, с ограничением доступа

При проверке 2024 года онлайн-платформа для школьников получила предписание удалить более 3000 записей уроков из открытого YouTube-канала. Причина – записи содержали голоса и изображения детей, согласий родителей на публикацию не было. Платформа исполнила предписание за счёт собственных ресурсов, потеряла значительную часть маркетингового контента.

Платежи и финансовые данные

Онлайн-школы принимают оплату через банковские карты, СБП, электронные кошельки. По 161-ФЗ «О национальной платёжной системе» данные карты обрабатывает не школа, а платёжный шлюз (ЮKassa, CloudPayments, Тинькофф-эквайринг). Школа получает только идентификатор платежа и ФИО плательщика.

Тем не менее школа отвечает за:

  • Выбор сертифицированного платёжного шлюза с российской инфраструктурой
  • Заключение договора на эквайринг с поручением обработки
  • Размещение ссылки на политику конфиденциальности шлюза на своей странице
  • Отсутствие самостоятельного сбора данных карт (никаких собственных форм с полем «CVV»)

Уведомление родителей и прозрачность

Даже если формально согласие получено, школа обязана поддерживать прозрачность обработки. Это означает:

  1. Раздел «Как мы обрабатываем данные детей» на сайте – простым языком, без юридических клише
  2. Регулярные отчёты родителям о прогрессе (email, личный кабинет) – не содержат ПДн других учеников
  3. Право родителя запросить полный список обрабатываемых данных своего ребёнка – ответ в 10 рабочих дней
  4. Право родителя потребовать удаления данных ребёнка после завершения обучения – исполнение в разумный срок
  5. Уведомление родителей обо всех серьёзных изменениях в обработке (переезд на новый хостинг, смена платёжного шлюза, введение новых маркетинговых инструментов)

Маркетинг и рассылки

Образовательные платформы активно ведут email и push-рассылки: напоминания о уроках, маркетинг новых курсов, акции. Для детской аудитории применимы дополнительные ограничения:

  • Нельзя отправлять детям рекламные материалы с рекомендациями покупок без согласия родителей
  • Персональные предложения на основе успеваемости ребёнка – это профилирование специальных категорий, требует отдельного согласия
  • SMS-рассылки детям до 14 лет недопустимы без согласия родителей
  • Ретаргетинг в рекламных кабинетах не применяется к несовершеннолетним – это прямое требование политик Яндекс.Директа и профильных сетей после 2024 года

Передача данных преподавателям-подрядчикам

Большинство онлайн-школ работает с преподавателями по договорам ГПХ или с ИП. Передача данных учеников преподавателю – самостоятельная обработка, требующая:

  1. Договора с преподавателем, включающего пункт о поручении обработки ПДн
  2. Обучения преподавателя правилам обращения с данными учеников
  3. Предоставления преподавателю только необходимого минимума данных (имя ученика, возраст, уровень – но не дата рождения и не домашний адрес)
  4. Отзыва доступа преподавателя при увольнении / завершении проекта
  5. Запрета преподавателю сохранять данные учеников в личных устройствах или облаках

Локализация баз данных

Образовательные платформы часто строятся на SaaS-решениях: Moodle, Teachable, Thinkific, Kajabi, Podia. Большинство из них не имеют серверов в РФ и автоматически нарушают статью 18.1 ФЗ-152.

Платформа Локализация в РФ Рекомендация
Moodle, самостоятельная инсталляция на российском сервере Да Предпочтительный вариант
GetCourse Да Российская LMS, подходит
АнтиТренинги Да Российский сервис
Teachbase Да Российский сервис
Teachable Нет Серверы в США
Thinkific Нет Серверы в Канаде
Kajabi Нет Серверы в США
Udemy Business Нет Глобальная инфраструктура

Сертификаты об окончании: особенность

Сертификат об успешном завершении курса – документ с ПДн (ФИО ученика, дата, название курса). Публикация «Галереи выпускников» на сайте с перечнем ФИО – нарушение, если не получено отдельное согласие на публикацию.

Как сделать корректно

  • В согласии на обучение – отдельный чекбокс о публикации в «Галерее выпускников»
  • Для детей – подпись родителя, без этого публикация запрещена
  • Возможность в любой момент запросить удаление своих данных из галереи
  • В самом сертификате не указывать избыточные данные (достаточно ФИО и даты, без даты рождения, адреса)

Чек-лист соответствия онлайн-школы ФЗ-152

  1. Политика конфиденциальности отдельно описывает обработку данных несовершеннолетних
  2. Регистрация детей до 14 лет проходит через родителя, с письменным согласием
  3. Регистрация 14–18 лет требует дополнительного подтверждения родителя для критичных операций
  4. База данных учеников размещена на серверах в РФ
  5. Платёжный шлюз – российский, с договором поручения обработки
  6. Прокторинг оформлен отдельным согласием на биометрию
  7. Записи уроков используются только в рамках заявленных целей
  8. Преподаватели работают по договорам с пунктом о поручении обработки ПДн
  9. Сертификаты публикуются только с согласия (для детей – родителей)
  10. Рассылки для детей ограничены, ретаргетинг не применяется
  11. Уведомление в РКН учитывает спецкатегории (если собираются сведения о здоровье, биометрия)
  12. Есть процедура ответа на запросы родителей и учеников в срок 10 рабочих дней
  13. Данные удаляются по окончании обучения или по требованию субъекта
  14. Видеозаписи хранятся в зашифрованном виде
  15. Cookie-banner не грузит аналитику до согласия
  16. План реагирования на утечки обеспечивает уведомление РКН в 24 часа

Практическая стратегия для онлайн-школы

Запуская или модернизируя онлайн-школу, планируйте работу по ФЗ-152 с самого начала, а не «потом, когда вырастем»:

  1. На этапе проектирования определите возрастные аудитории и схему согласий для каждой
  2. Выберите российскую LMS или установите Moodle на российский хостинг с самого начала
  3. Заключите договоры с платёжным шлюзом, email-рассыльщиком, преподавателями с пунктами о поручении обработки
  4. Подготовьте шаблоны согласий для родителей и учеников до первого набора
  5. Настройте технические меры защиты личных кабинетов до запуска (2FA, журналирование, шифрование)
  6. Подайте уведомление в РКН сразу, не дожидаясь первых проверок
  7. Проведите обучение преподавателей и администраторов правилам работы с ПДн детей

Такой подход позволит избежать дорогостоящих переделок в момент, когда школа начнёт расти и привлечёт внимание регулятора. Штрафы за нарушение ФЗ-152 при работе с детскими данными в 2026 году могут превышать полмиллиона рублей за один эпизод, а при массовых утечках – переходить в оборотные санкции.