Языковая школа хранит персональные данные: ФИО учеников и родителей, телефоны, email, даты рождения, адреса, данные об оплатах. С точки зрения 152-ФЗ «О персональных данных», школа — оператор персональных данных. Это налагает конкретные обязанности, за неисполнение которых предусмотрены штрафы до 18 миллионов рублей (с 2025 года).
По данным нашего исследования EduGrowth (116 интервью с руководителями школ), только 18% директоров уверены, что их школа полностью соответствует 152-ФЗ. 45% «что-то слышали», а 37% честно признались — «понятия не имею, что нужно делать». В этой статье дадим конкретный чеклист соответствия, который можно пройти за 1-2 дня.
Что требует 152-ФЗ от языковой школы
Закон 152-ФЗ действует с 2006 года, но в 2024-2025 годах произошли два принципиальных изменения:
- Увеличение штрафов (ФЗ-420 от 30.11.2024). Штрафы для юрлиц выросли в 10-20 раз. Максимальный штраф за утечку — до 18 миллионов рублей
- Ужесточение требований к согласиям. Теперь каждая цель обработки должна быть указана отдельно: хранение, рассылка, передача третьим лицам
Вот что закон требует от любой организации, обрабатывающей персональные данные — включая языковые школы:
1. Уведомление Роскомнадзора
До начала обработки персональных данных нужно подать уведомление в Роскомнадзор. Это не лицензия и не разрешение — это уведомление о том, что вы обрабатываете ПДн. Подается один раз, бесплатно, через портал pd.rkn.gov.ru.
2. Согласие на обработку
Каждый субъект (ученик/родитель) должен дать письменное согласие на обработку его данных. Согласие должно быть конкретным: какие данные, для чего, кому передаются, срок хранения.
3. Политика обработки ПДн
Документ, описывающий, как школа собирает, хранит, использует и уничтожает персональные данные. Должен быть опубликован на сайте (если есть) и доступен по запросу.
4. Назначение ответственного
Приказом должен быть назначен сотрудник, ответственный за организацию обработки ПДн. В маленькой школе это обычно директор.
5. Защита данных
Технические и организационные меры: пароли, шифрование, ограничение доступа, резервное копирование, антивирус на компьютерах с данными.
Штрафы: сколько стоит несоблюдение
С 30 мая 2025 года действуют увеличенные штрафы. Вот основные суммы для юрлиц:
Для ИП штрафы ниже (до 100-400 тыс. рублей за первое нарушение), но тоже существенные для малого бизнеса. Кроме того, Роскомнадзор может заблокировать сайт, если на нем нет политики обработки ПДн.
По данным Роскомнадзора за 2025 год: число проверок образовательных организаций выросло на 35%. Проверки инициируются по жалобам (бывшие сотрудники, недовольные клиенты) и по данным мониторинга сайтов.
Чеклист соответствия 152-ФЗ
Пройдите чеклист — узнайте, что уже выполнено и что нужно доделать. Прогресс сохраняется в браузере.
Соответствие 152-ФЗ: 15 пунктов
Отмечайте выполненное — прогресс сохраняется
BigBen CRM хранит данные в России — на серверах в Москве, с шифрованием и ежедневным бекапом. Ограничение доступа по ролям, журнал действий, SSL — все требования 152-ФЗ закрыты на стороне платформы. Узнать подробнее.
Как CRM помогает соблюдать 152-ФЗ
Парадоксально, но CRM-система — это не угроза безопасности данных, а инструмент ее обеспечения. Школа без CRM хранит данные хуже:
| Аспект | Без CRM (Excel, тетрадки) | С CRM |
|---|---|---|
| Контроль доступа | Файл на флешке, виден всем | Роли и права, журнал действий |
| Шифрование | Нет | SSL/TLS, шифрование БД |
| Резервные копии | «А я думал, ты сохранил» | Автоматический ежедневный бекап |
| Удаление данных | Невозможно отследить все копии | Удаление из одной точки |
| Локализация (Россия) | Google Drive = серверы за рубежом | Российские серверы (если CRM соответствует) |
| Журнал изменений | Нет | Кто, когда, что изменил |
Однако не любая CRM подходит. Воспользуйтесь интерактивной матрицей сравнения CRM, чтобы подобрать систему с нужным уровнем защиты. Вот что нужно проверить при выборе:
5 вопросов к CRM-провайдеру
- Где серверы? 152-ФЗ требует хранения ПДн россиян в России. Google Sheets, Airtable, Notion — серверы за рубежом. Риск блокировки + штраф
- Есть ли ролевой доступ? Преподаватель не должен видеть финансовые данные. Администратор — данные учеников других филиалов. CRM должна поддерживать разделение прав. Подробнее об этом — в уроке по интеграциям CRM
- Есть ли бекапы? Автоматическое ежедневное резервное копирование — обязательно. Спросите: «Что произойдет, если данные пропадут? За какой период можно восстановить?»
- Есть ли функция удаления? По закону субъект может потребовать удаления своих данных. CRM должна позволять полностью удалить информацию об ученике
- SSL/HTTPS? Передача данных между браузером и сервером должна быть зашифрована. Если CRM работает по HTTP (без «s») — это грубое нарушение
Какие данные учеников относятся к ПДн
Персональные данные — это любая информация, по которой можно идентифицировать конкретного человека. Для языковой школы это:
| Данные | ПДн? | Комментарий |
|---|---|---|
| ФИО ученика | Да | Основные ПДн |
| Телефон, email | Да | Контактные ПДн |
| Дата рождения | Да | Основные ПДн |
| Адрес проживания | Да | Основные ПДн |
| Фото ученика | Да | Биометрические ПДн (усиленная защита) |
| Оценки, успеваемость | Да | В привязке к ФИО |
| Данные об оплатах | Да | В привязке к ФИО |
| Информация о здоровье | Да (специальная категория) | Аллергии, ограничения — усиленная защита |
| Номер группы (без ФИО) | Нет | Обезличенные данные — не ПДн |
Часто задаваемые вопросы о 152-ФЗ
Вопросы о персональных данных в школе
Да. ИП, обрабатывающий персональные данные клиентов (учеников), обязан подать уведомление. Исключение — если данные обрабатываются исключительно для исполнения договора и не передаются третьим лицам. На практике, если вы используете CRM, рассылки, WhatsApp — вы передаете данные, и уведомление необходимо.
Формально — нарушение ч.5 ст.18 152-ФЗ, которая требует хранить ПДн россиян на территории России. Серверы Google расположены за рубежом. На практике, Роскомнадзор пока фокусируется на крупных компаниях, но прецеденты проверок малого бизнеса уже есть. Рекомендация: перейти на российскую CRM или хотя бы на Яндекс Таблицы (серверы в России).
По ст.21 152-ФЗ вы обязаны прекратить обработку и уничтожить данные в течение 30 дней с момента получения требования. Однако есть исключения: данные, необходимые для исполнения договора (пока он действует), и данные для бухгалтерского учета (хранятся 5 лет по НК РФ). Рекомендация: удалить персональные данные (ФИО, контакты), но сохранить обезличенные финансовые записи для бухгалтерии.
Да, обязательно. Фотография — это биометрические персональные данные (ст.11 152-ФЗ). Для публикации на сайте или в соцсетях нужно отдельное письменное согласие. Для несовершеннолетних — согласие родителя/опекуна. Штраф за публикацию без согласия: до 150 000 рублей для юрлица.
С 2025 года действует обязательное уведомление. В течение 24 часов вы обязаны уведомить Роскомнадзор об инциденте, а в течение 72 часов — предоставить результаты внутреннего расследования. Также рекомендуется уведомить пострадавших субъектов. Штраф за утечку без уведомления: от 1 до 18 миллионов рублей (зависит от объема данных).
Для сбора заявок через сайт (имя, телефон) — да, галочка с текстом согласия и ссылкой на Политику считается надлежащим согласием. Для более широкой обработки (рассылки, передача третьим лицам, хранение данных детей) — рекомендуется бумажное согласие с подписью, включенное в договор на обучение.
Практические шаги: с чего начать
Если вы поняли, что школа не соответствует 152-ФЗ — не паникуйте. Вот план на неделю:
День 1-2: Документы
- Подайте уведомление в Роскомнадзор (pd.rkn.gov.ru). Это бесплатно, занимает 20 минут
- Скачайте и адаптируйте шаблон Политики обработки ПДн. Шаблоны есть на сайте Роскомнадзора
- Опубликуйте Политику на сайте школы
День 3-4: Согласия
- Адаптируйте форму согласия под вашу школу: укажите конкретные данные (ФИО, телефон, email, дата рождения), цели (учебный процесс, рассылки, статистика), третьих лиц (CRM-провайдер, SMS-провайдер)
- Включите согласие в договор для новых учеников
- Раздайте согласия текущим ученикам/родителям на ближайшем занятии
День 5: Техническая защита
- Проверьте, что CRM хранит данные в России (помочь с выбором может чеклист внедрения CRM)
- Установите пароли на все компьютеры с данными
- Ограничьте доступ к CRM: преподавателям — только свои группы, администраторам — только свой филиал
Итог: безопасность — это не страшно
152-ФЗ выглядит пугающе, но для языковой школы это 15 конкретных пунктов, которые закрываются за неделю. Главное — начать. Уведомление в Роскомнадзор, согласия в договоре, CRM с российскими серверами — три шага, которые снимают 80% рисков. Как директора школ системно подходят к безопасности и автоматизации — в интервью про систематизацию школы.
BigBen CRM полностью соответствует 152-ФЗ: российские серверы, шифрование, ролевой доступ, бекапы. Мы берем техническую часть на себя, вам остается только документальная.
Дополнительные материалы:
- CRM для языковой школы: зачем нужна и как выбрать — обзор возможностей с учетом безопасности
- Мобильное приложение для учеников — как обеспечить безопасность данных в приложении
- Безбумажная школа: как перейти — цифровизация с учетом 152-ФЗ
