Блог ОБР.ПРО
Персональные данные на сайте образовательной организации: формы, согласия и защита данных

Персональные данные на сайте образовательной организации: политика, согласия, формы и фото детей

Короткий ответ

Политика обработки персональных данных на сайте — это только видимая часть системы. Если образовательная организация собирает заявки, размещает фото детей, ведёт чаты с родителями, использует LMS или CRM, отправляет рассылки, принимает документы онлайн и публикует отзывы, ей нужен не один файл «Политика», а связанный контур персональных данных.

Контур — это когда понятно:
какие данные собираются;
у кого именно;
для какой цели;
на каком основании;
где хранятся;
кому передаются;
кто имеет доступ;
какие согласия нужны;
что опубликовано публично;
как удалить данные;
как ответить на запрос родителя, сотрудника, слушателя или проверяющего.
Материал актуален на 3 июля 2026 года. Персональные данные — чувствительная зона: перед внедрением документов нужно сверять фактические процессы, используемые сервисы, категории субъектов и цели обработки.

Почему у образовательных организаций риск выше, чем у обычного сайта

Обычный сайт часто собирает только имя, телефон и e-mail.
Образовательная организация обрабатывает гораздо больше:
  • данные родителей и законных представителей;
  • данные детей и обучающихся;
  • паспортные данные;
  • СНИЛС;
  • сведения о документах об образовании;
  • сведения о здоровье, если они собираются для обучения, питания, допуска, сопровождения или особых условий;
  • данные сотрудников и педагогов;
  • фото и видео с мероприятий;
  • данные LMS и CRM;
  • сведения о прогрессе, посещаемости, оплате и договоре;
  • переписку в мессенджерах;
  • данные для ФИС ФРДО, если применимо;
отзывы, кейсы, достижения, публикации в соцсетях.
Поэтому риск не закрывается скачанной политикой. Документ должен отражать реальную жизнь организации.
Если на сайте есть форма заявки, но под ней нет понятного согласия — это риск.
Если фото детей публикуются «потому что красиво» — это риск.
Если в Telegram-канале сада выкладывают списки группы — это риск.
Если менеджер заносит заявку из сайта в CRM, а CRM и подрядчики не отражены в документах — это риск.
Если есть рассылка, но согласие на рекламу спрятано в общий чек-бокс — это риск.

Нормативная база

Основной закон — Федеральный закон № 152-ФЗ «О персональных данных».
Для сайта образовательной организации особенно важны:
  • статья 5 — принципы обработки: законность, конкретные цели, недопустимость избыточности;
  • статья 6 — условия обработки персональных данных;
  • статья 9 — требования к согласию;
  • статья 10.1 — отдельный режим для персональных данных, разрешённых субъектом для распространения;
  • статья 18.1 — обязанность оператора принимать необходимые меры и публиковать политику при сборе данных через сайт;
  • статья 22 — уведомление Роскомнадзора о намерении осуществлять обработку персональных данных, кроме установленных исключений.
При сборе персональных данных граждан РФ через интернет также нужно учитывать требование о записи, систематизации, накоплении, хранении, уточнении и извлечении таких данных с использованием баз данных, находящихся на территории РФ, за предусмотренными законом исключениями.
Отдельно для рассылок важно учитывать статью 18 Закона о рекламе: распространение рекламы по сетям электросвязи допускается при предварительном согласии адресата, а доказывать наличие такого согласия должен рекламораспространитель.
Роскомнадзор предоставляет электронные формы для уведомлений операторов персональных данных; уведомление можно направить, в том числе, в бумажном виде, с использованием УКЭП или через ЕСИА.

Что должно быть на сайте

1. Политика обработки персональных данных

Политика должна быть доступна пользователю до отправки формы. Недостаточно спрятать её глубоко в футере, если формы находятся на лендингах, квизах, поп-апах, страницах записи на экскурсию или скачивания чек-листа.
Проверьте, есть ли в политике:
  • кто является оператором;
  • какие категории субъектов обрабатываются;
  • какие данные собираются;
  • цели обработки;
  • правовые основания;
  • сроки обработки и хранения;
  • порядок отзыва согласия;
  • права субъекта;
  • контакт для обращений;
  • меры защиты;
  • сведения о подрядчиках и поручении обработки, если применимо;
информация о сервисах сайта, CRM, LMS, рассылках, формах и аналитике, если они используются.
Главное правило: политика должна описывать не «идеальную организацию из шаблона», а вашу фактическую модель.

2. Согласия под формами

Под каждой формой должно быть понятно, какие данные человек отправляет и для какой цели.
Нельзя сваливать всё в одну фразу: «Нажимая кнопку, вы соглашаетесь со всем».
Особенно опасно смешивать:
  • заявку на консультацию;
  • запись ребёнка на пробный день;
  • скачивание чек-листа;
  • рекламную рассылку;
  • передачу данных партнёрам;
  • публикацию отзыва;
  • использование фото и видео;
  • обработку данных для договора;
  • обработку данных ребёнка.
Безопасная логика:
  • одно согласие — на обработку данных для ответа на заявку;
  • отдельное согласие или чек-бокс — на рекламную рассылку;
  • отдельное согласие — на распространение персональных данных, если данные публикуются;
  • отдельное согласие — на фото и видео ребёнка, если публикация выходит за пределы внутренней работы организации.
Чек-бокс не должен быть заранее проставлен. Согласие должно быть осознанным действием пользователя.

3. Фото и видео детей

Для частных школ и детских садов это одна из самых частых зон риска.
Родители могут подписать общее согласие при поступлении, но это не всегда означает, что организация вправе публиковать фото, видео, фамилии, списки групп, достижения и мероприятия в интернете.
Если организация публикует фото детей, проверьте:
  • есть ли отдельная цель обработки;
  • указаны ли площадки публикации: сайт, VK, Telegram, MAX, TenChat, рекламные материалы;
  • описан ли состав данных: изображение, имя, возраст, группа, достижение;
  • можно ли отозвать согласие;
  • есть ли порядок удаления публикаций;
  • отделено ли фото/видео от обязательной образовательной обработки;
  • не публикуются ли списки детей, фамилии, диагнозы, особенности развития, адреса, телефоны;
  • кто отвечает за проверку публикаций.
Особенно важно: согласие на обучение и договор с родителем не равны согласию на публичную публикацию ребёнка.

4. LMS, CRM, мессенджеры и подрядчики

Если организация использует Tilda, GetCourse, Moodle, Яндекс Формы, amoCRM, Bitrix24, Telegram-бота, WhatsApp, сервис рассылок, облачное хранилище, онлайн-кассу, телефонию, виджет обратного звонка или аналитику, нужно понимать:
  • кто оператор;
  • кто подрядчик или обработчик;
  • какие данные передаются;
  • где находятся данные;
  • есть ли договор или поручение обработки;
  • кто имеет доступ;
  • как удаляются данные;
  • как эти процессы отражены в политике и согласиях.
Частая ошибка: организация считает, что персональные данные «лежат в форме на сайте». На самом деле они могут уходить в CRM, таблицу, почту, мессенджер, телефонию, рекламный кабинет и LMS. Проверять нужно всю цепочку.

5. Рассылки и рекламные сообщения

Если после заявки человеку начинают писать о курсах, акциях, наборах, открытых уроках и скидках, это уже не просто «ответ на заявку».
Нужно разделять:
  • ответ на обращение;
  • информационное сообщение по договору;
  • рекламную рассылку;
  • приглашение на мероприятие;
  • повторные продажи;
  • передачу контакта менеджеру или партнёру.
Для рекламы нужно отдельное согласие и возможность доказать, что человек его дал.

6. Отзывы, кейсы и достижения

Отзывы родителей, учеников и слушателей тоже могут содержать персональные данные.
Проверьте:
  • есть ли согласие на публикацию отзыва;
  • можно ли публиковать имя, фото, должность, город, результат;
  • что делать при отзыве согласия;
  • не раскрывает ли отзыв лишние сведения о ребёнке, здоровье, успеваемости, конфликте или семейной ситуации;
  • отдельно ли оформлены кейсы «до/после», если они используются в рекламе.

Судебная практика: где проблема становится видимой

В одном из дел по детскому саду суд установил, что на сайте была форма обратной связи с полями «Имя» и «Ваш e-mail», через которую посетители передавали сведения о себе, а организация являлась оператором персональных данных.
В другом деле образовательная организация разместила на сайте имена и фамилии несовершеннолетних участников отряда без письменного согласия законных представителей. Суд квалифицировал действия по части 2 статьи 13.11 КоАП РФ и назначил должностному лицу штраф.
Практический вывод: для сайта мало иметь «какое-то согласие». Нужно проверять цель, объём данных, способ обработки и факт публичного распространения.

Что проверить в первую очередь

Сайт и формы

  • Есть ли политика ПДн.
  • Открывается ли она до отправки формы.
  • Есть ли отдельное согласие под каждой формой.
  • Не стоит ли чек-бокс заранее.
  • Понятно ли, кто оператор.
  • Совпадает ли оператор в политике, договоре и реквизитах.
  • Есть ли формы заявки, квизы, callback, чат-виджеты, формы скачивания чек-листов.
  • Понятно ли, куда уходят данные после отправки формы.

Фото, видео, отзывы

  • Есть ли отдельное согласие на публикацию фото и видео.
  • Разведены ли фото сотрудников, детей, родителей, слушателей.
  • Указаны ли площадки публикации.
  • Есть ли порядок удаления по отзыву согласия.
  • Не публикуются ли списки детей.
  • Не раскрываются ли сведения о здоровье, особенностях развития, успеваемости или семейной ситуации.
  • Есть ли согласие на публикацию отзывов.

LMS, CRM и подрядчики

  • Есть ли перечень используемых сервисов.
  • Понятно ли, какие данные уходят в каждый сервис.
  • Проверены ли договоры с подрядчиками.
  • Описано ли поручение обработки, если оно требуется.
  • Проверено ли хранение данных.
  • Есть ли порядок закрытия доступов сотрудникам.
  • Есть ли порядок удаления данных из CRM и LMS.

Внутренние процессы

  • Назначен ли ответственный за ПДн.
  • Есть ли положение или регламент обработки.
  • Есть ли перечень лиц с доступом.
  • Есть ли перечень информационных систем.
  • Есть ли порядок работы с запросами субъектов.
  • Есть ли порядок удаления и уничтожения данных.
  • Проверено ли уведомление Роскомнадзора.
  • Обучены ли администраторы, менеджеры и SMM-специалисты.

Практический чек-лист на 10 рабочих дней

  • День 1. Соберите все точки сбора данных: сайт, формы, квизы, боты, CRM, LMS, мессенджеры, рассылки.
  • День 2. Для каждой точки укажите цель обработки.
  • День 3. Проверьте, есть ли согласие или иное правовое основание.
  • День 4. Проверьте, доступна ли политика до отправки формы.
  • День 5. Разведите заявки, рассылки, договоры, фото, видео, отзывы и публикации.
  • День 6. Проверьте публикации детей и сотрудников за последние 6 месяцев.
  • День 7. Уберите из публичного доступа избыточные персональные данные.
  • День 8. Проверьте подрядчиков: платформа, CRM, рассылка, хостинг, формы, облако, телефония.
  • День 9. Проверьте уведомление Роскомнадзора и актуальность сведений.
  • День 10. Сформируйте внутренний реестр: какие данные, где хранятся, кто имеет доступ, когда удаляются.

Ошибки, которые лучше исправить сразу

  • Политика есть только в футере, а формы — на отдельных лендингах.
  • Под формой написано «нажимая кнопку, вы соглашаетесь со всем».
  • Один чек-бокс объединяет заявку, рассылку, рекламу, договор, фото и отзывы.
  • Чек-бокс заранее проставлен.
  • На сайте опубликованы списки детей.
  • В соцсетях размещаются фото детей без понятного согласия.
  • CRM, LMS и рассылки не отражены в документах.
  • Сотрудники имеют доступ к данным после увольнения.
  • Администратор ведёт заявки в личном мессенджере.
  • Нет порядка удаления данных после отзыва согласия.
  • Уведомление Роскомнадзора не подавалось или устарело.

Отдельно для частных школ и детских садов

Для школ и садов нужно особенно внимательно проверять:
  • фото и видео детей;
  • групповые чаты;
  • передачу данных педагогам и администраторам;
  • документы при поступлении;
  • медицинские справки;
  • данные о питании и здоровье;
  • публикацию мероприятий;
  • отзывы родителей;
  • данные законных представителей;
  • доступ сотрудников к детским данным;
взаимодействие с подрядчиками по питанию, охране, кружкам, медицинскому сопровождению.
Главное правило: чем больше организация работает с детьми, тем аккуратнее должен быть контур персональных данных.

Отдельно для ДПО и онлайн-школ

Для ДПО и онлайн-школ зона риска обычно другая:
  • заявки с лендингов;
  • CRM;
  • LMS;
  • боты;
  • рекламные рассылки;
  • пиксели и аналитика;
  • доступы кураторов;
  • загрузка документов слушателей;
  • выдача документов об обучении;
  • ФИС ФРДО, если применимо;
  • публикация отзывов и кейсов;
  • записи вебинаров с участниками.
Здесь важно не просто сделать политику, а связать её с офертой, договором, LMS, рассылками и доказательствами оказания услуг.

Что ОБР.ПРО может предложить после этой статьи

Если сайт уже собирает заявки, первый шаг — пакет «Сайт и заявки»: политика, согласия под формами, тексты чек-боксов, проверка форм и рекомендации по размещению.
Если организация работает с детьми, фото и видео, LMS, CRM, договорами, рассылками и подрядчиками, нужен полный контур ПДн для образовательной организации: документы, процессы, сайт, согласия, уведомление Роскомнадзора, регламенты и инструкции для сотрудников.

FAQ

Достаточно ли одной политики в футере?

Нет. Политика важна, но пользователь должен понимать, какие данные и для какой цели он отправляет через конкретную форму. Для рассылки, публикации фото, отзывов или передачи данных подрядчикам могут требоваться отдельные документы и согласия.

Можно ли публиковать фото детей, если родители подписали общее согласие при поступлении?

Не всегда. Нужно смотреть текст согласия: есть ли цель публикации, площадки, состав данных, срок, право на отзыв и разрешение на распространение. Для публичного размещения лучше делать отдельную понятную форму согласия.

Нужно ли уведомлять Роскомнадзор?

Во многих случаях — да. Закон предусматривает обязанность уведомления до начала обработки, кроме отдельных исключений. Поэтому образовательной организации лучше не гадать, а проверить фактический контур обработки.

Кто отвечает за фото в Telegram-канале сада или школы?

Ответственность несёт оператор и должностные лица, которые организуют обработку и публикацию. Поэтому публикации должны проходить через внутренний порядок, а не по принципу «администратор выложил красивый пост».

Можно ли использовать личный WhatsApp администратора для заявок родителей?

Это рискованная практика. Нужно понимать, какие данные туда попадают, кто имеет доступ, как данные сохраняются, удаляются, передаются и как организация сможет выполнить запрос субъекта персональных данных.

Нужно ли отдельное согласие на рекламную рассылку?

Да, рекламные сообщения лучше отделять от обычной обработки заявки или исполнения договора. Организация должна уметь доказать, что человек согласился получать рекламу.

Источники

Нужна проверка сайта? На сайте есть формы, фото детей, заявки, рассылки, LMS или CRM, но документы по персональным данным собирались «по образцу»? ОБР.ПРО проверит реальный контур обработки персональных данных и подготовит пакет документов под вашу модель работы.