Что такое 152-ФЗ?

Федеральный закон №152 «О персональных данных» регулирует сбор, хранение и обработку персональных данных граждан РФ. Любой, кто собирает email, телефоны, ФИО через формы — является оператором персональных данных и обязан соблюдать закон.

Почему Google Forms — это нарушение?

Google Forms хранит данные на серверах за пределами РФ. По ст. 18 152-ФЗ, оператор обязан обеспечить хранение ПДн граждан РФ на территории России. Использование Google Forms для сбора ПДн — прямое нарушение с штрафом до 6 млн ₽.

Как быстро работает проверка?

Экспресс-проверка занимает 20–60 секунд. Мы анализируем все публикации, ссылки, виджеты, формы, куки, сертификаты и политику конфиденциальности.

Что входит в отчёт?

Полный отчёт включает список нарушений со ссылками на конкретные посты/страницы, статьи ФЗ-152, уровни риска, рекомендации по устранению. Формат — PDF или DOCX.

Безопасно ли давать ссылку на группу или сайт?

Абсолютно безопасно. Мы анализируем только публичную информацию. Не запрашиваем доступ администратора, не сохраняем данные участников.

VK-группа детской организации: 11 правил без штрафа в 2026

Name: PDN Guard — аудит на соответствие ФЗ-152
Brand: PDN Guard
Availability: InStock

Фото детей, согласие родителей, списки участников, медсправки — самые частые нарушения в VK-группах школ и секций. Чек-лист и шаблоны для директора и тренера.

К нам в чат сервиса написал тренер по плаванию из Карелии: «Веду группу ВКонтакте уже семь лет. Публикую фото с тренировок, вывешиваю протоколы соревнований, записываю детей через ЛС. Недавно одна мама пожаловалась в РКН — и теперь на нас открыто дело. Мы вообще не знали, что нарушаем». Разбираемся: почему VK-группа спортивной секции или школы — это не просто страничка с новостями, и что нужно исправить до того, как к вам придут с предписанием.

Вы уже оператор ПДн — даже если у вас «просто группа»

Почти все тренеры и методисты, которые к нам обращаются, уверены: «у нас нет базы данных». На самом деле по Федеральному закону от 27.07.2006 № 152-ФЗ «О персональных данных» (далее — ФЗ-152) оператором является любое лицо, которое «организует и (или) осуществляет обработку персональных данных» (п. 2 ст. 3 ФЗ-152). Обработка — это в том числе сбор, запись, хранение и передача данных.

Конкретный пример: тренер детской секции пишет в ЛС — «Запишите имя ребёнка, возраст и группу здоровья». В этот момент он уже обрабатывает персональные данные и несёт ответственность по ст. 13.11 КоАП РФ. Хранит переписку в ВК — хранит персональные данные. Пересылает справку маме в ответ — передаёт их третьему лицу.

Хорошая новость: порядок навести несложно. Плохая: пока порядка нет, штраф за обработку без письменного согласия — для юрлиц от 300 000 до 700 000 ₽ по ч. 2 ст. 13.11 КоАП в редакции Федерального закона от 30.11.2024 № 420-ФЗ (действует с 30 мая 2025 года). Для ИП по ч. 2 — как для должностных лиц: от 100 000 до 300 000 ₽ (по общему правилу ст. 2.4 КоАП, поскольку ч. 2 не входит в перечень частей 1.1, 8–18 примечания к ст. 13.11). Это уже не «бумажный» риск: реальные дела по этой норме регулярно фиксируются Роскомнадзором.

Описание группы ВКонтакте: один абзац закрывает половину претензий

Первое, что проверяет автоматический бот РКН и инспектор при разборе жалобы, — наличие ссылки на политику обработки персональных данных в описании группы. Её отсутствие — самостоятельное нарушение по ч. 3 ст. 13.11 КоАП: для юрлиц 30 000 – 60 000 ₽, для ИП 10 000 – 20 000 ₽, для должностных лиц 6 000 – 12 000 ₽. Обязанность опубликовать политику в сети установлена ч. 2 ст. 18.1 ФЗ-152.

Методист начальной школы, добавив одну строку в описание группы «3А класс», закрывает половину претензий при автоматической проверке — и это не преувеличение, именно этот критерий сканируется в первую очередь. Готовая формулировка:

«Группа ведётся [название организации], ИНН ________. Отправляя сообщения и заявки в эту группу, вы соглашаетесь с обработкой персональных данных согласно Политике обработки ПДн [ссылка на документ]. Контакт для обращений по вопросам персональных данных: [email или телефон ответственного лица].»

Политика должна быть доступна по ссылке и содержать обязательные разделы — цели обработки, категории данных, права субъектов, срок хранения. Подробно про структуру документа — в нашем разборе политики обработки ПДн.

Согласие законного представителя: не опция, а обязанность по закону

Для детей до 18 лет согласие на обработку персональных данных даёт родитель или опекун — законный представитель. Эта обязанность вытекает из общих правил ст. 9 ФЗ-152 (требования к согласию субъекта персональных данных) и ст. 64 Семейного кодекса РФ: родители являются законными представителями детей и действуют от их имени без специальных полномочий.

Типичная ошибка детских центров: родитель при онлайн-записи кликает галочку «Согласен с политикой» — и кажется, что вопрос закрыт. На самом деле нет: электронная галочка не является надлежащим согласием законного представителя несовершеннолетнего в той форме, которую требует закон при первичном приёме документов. Для детских садов и кружков, которые ведут бумажные личные дела воспитанников, согласие должно быть получено в письменной форме — на бумаге с подписью родителя или электронным документом, подписанным усиленной квалифицированной электронной подписью (ч. 4 ст. 9 ФЗ-152), с перечнем целей обработки и указанием конкретных данных. Нарушение квалифицируется по ч. 2 ст. 13.11 КоАП — для юрлица от 300 000 до 700 000 ₽.

С 1 сентября 2025 года требование к форме согласия ужесточено Федеральным законом от 24.06.2025 № 156-ФЗ: согласие на обработку ПДн оформляется отдельным документом — его нельзя скрытно встраивать в общий договор или оферту. Готовый шаблон согласия для секции:

«Я, _____________________________________ (ФИО законного представителя), паспорт _________________, проживающий по адресу __________________, как законный представитель несовершеннолетнего _____________________________________ (ФИО ребёнка), даю согласие [название организации], ИНН ________, на обработку следующих персональных данных моего ребёнка: ФИО, дата рождения, пол, контактный телефон, адрес проживания, сведения о состоянии здоровья (по справке формы 086/у). Цель обработки: организация и проведение тренировочного процесса по [виду спорта], учёт посещаемости, информирование о расписании и соревнованиях, оформление участия в соревнованиях. Срок действия согласия: до момента отзыва согласия в письменной форме. Дата ____________ Подпись ____________»

Фото детей в группе: главный «больной» вопрос

Фото с тренировок, утренников, соревнований — то, ради чего родители подписываются на группу. И самый частый источник жалоб в РКН. Фотография, на которой можно идентифицировать человека, является его персональными данными по ст. 3 ФЗ-152, для её обработки требуется согласие по ст. 9 ФЗ-152. Дополнительно действует ст. 152.1 Гражданского кодекса РФ: «обнародование и дальнейшее использование изображения гражданина (в том числе его фотографии)» без его согласия не допускается. Для несовершеннолетних — согласие законного представителя.

Обратите внимание: ст. 11 ФЗ-152 (биометрия) к обычным фотографиям детей в группе не применяется. Биометрические ПДн — это данные, которые специально используются для идентификации (отпечатки, сетчатка, формализованные шаблоны лиц для распознавания). Фото с тренировки на стене группы — это обычные ПДн (ст. 9 ФЗ-152) плюс охрана изображения (ст. 152.1 ГК РФ), и Роскомнадзор для нашего сегмента такой квалификации не применяет.

Что должно быть в согласии на фото и видео отдельной строкой:

указание, что изображение будет публиковаться в социальных сетях, на сайте, в печатных материалах;
возможность отозвать согласие в любое время;
срок действия согласия и срок хранения фотоархива;
для соревнований и публичных мероприятий — указание, что фото может быть передано СМИ.

Списки участников и протоколы соревнований

Тренер вывешивает в группе протокол соревнований: «Иванов Петя, 2014 г.р., 1 место, 50 м кролем, время 0:34:12». Ситуация типовая для любой спортшколы и кружка. И типовое нарушение, если согласия родителя на публикацию ФИО и возраста нет.

Основания обработки — ч. 1 ст. 6 и ст. 9 ФЗ-152. Без согласия — квалификация по ч. 2 ст. 13.11 КоАП: для юрлица от 300 000 до 700 000 ₽.

Если в протоколе указана и спортивная категория здоровья (например, «специальная медгруппа Б»), это уже специальная категория ПДн (данные о состоянии здоровья по ч. 1 ст. 10 ФЗ-152). Та же ч. 2 ст. 13.11 КоАП, но при отягощающих — отдельный риск более жёсткой квалификации.

Безопасные варианты публикации результатов:

обезличить — оставить только инициалы и год рождения, без полного ФИО («Иванов П., 2014 г.р.»);
публиковать результаты только тех участников, чьи родители подписали отдельное согласие на публикацию результатов в открытом доступе;
размещать протоколы в закрытом разделе группы, доступном только подписанным родителям (это технически плохо реализуется в ВК, но работает для Telegram-канала с проверкой).

Медицинские справки — самое опасное место

Тренер пишет в чат: «Скиньте справку 086/у в личку, чтобы я записал ребёнка». Через день справка лежит у тренера в ЛС-переписке ВК. С точки зрения закона это хранение специальной категории персональных данных — данных о состоянии здоровья — на иностранной платформе, без надлежащих мер защиты. Это нарушение по нескольким составам сразу.

Специальная категория данных по ч. 1 ст. 10 ФЗ-152 — это данные о расовой и национальной принадлежности, политических взглядах, религиозных и философских убеждениях, состоянии здоровья, интимной жизни. Их обработка возможна только в строго определённых случаях, в большинстве — с письменного согласия субъекта или его законного представителя. Штраф по той же ч. 2 ст. 13.11 КоАП — до 700 000 ₽ для юрлица.

Обратите внимание! Хранение медицинских справок в ВК-переписке, в общем чате родителей или в Google Drive — это многократное нарушение: и по ст. 10 (специальная категория без надлежащего основания), и по ч. 5 ст. 18 (требование локализации в РФ нарушено для иностранных сервисов), и по ст. 19 (меры безопасности не обеспечены).

Безопасный способ: справка передаётся на бумаге при первичной записи и хранится в личном деле в шкафу с ограниченным доступом, либо электронная копия — в защищённой папке на российском сервере, доступ только у тренера и администратора.

Запись через ЛС: оператор обязан вести журнал

«Просто напишите мне в ЛС, всё запишем» — самый удобный для тренера способ записи. И самый несоответствующий закону. ВКонтакте — иностранная по архитектуре платформа, переписка хранится на серверах VK; формально это серая зона, но фактически инспекторы РКН в нашем сегменте не штрафовали именно за хранение в ВК. Однако совсем без структуры переписки оператор нарушает требования ст. 18.1 ФЗ-152 (организационные и технические меры по обеспечению выполнения обязанностей).

Минимально приемлемая схема:

в группе ВКонтакте — кнопка «Запись» с переходом на форму на российском сервисе (Яндекс.Формы, форма ВКонтакте, форма Битрикс24);
форма содержит чекбокс согласия с политикой и ссылку на саму политику;
форма принимает только базовый минимум данных — ФИО ребёнка, контактный телефон родителя, возраст. Медданные и подробное согласие — на бумаге при первой встрече;
из ЛС переписку с обработкой ПДн стоит максимально сократить — для уточнений, но не для сбора полных анкет.

Google Forms, Яндекс.Формы и иностранные сервисы

По ч. 5 ст. 18 ФЗ-152 первичная запись и хранение баз данных персональных данных граждан РФ должны вестись в России. С 1 июля 2025 года норма ужесточена Федеральным законом от 28.02.2025 № 23-ФЗ — раньше требование касалось только хранения, теперь и первой записи.

Любая форма на Google Forms, Typeform, Mailchimp, HubSpot — это нарушение требования локализации. По ч. 8 ст. 13.11 КоАП штраф для юрлиц 1 000 000 – 6 000 000 ₽; должностных лиц 100 000 – 200 000 ₽; ИП с 30 мая 2025 года приравнены к юрлицам по большинству составов ст. 13.11 — то есть тоже миллионы. Повторное нарушение по ч. 9 — для юрлиц до 18 миллионов рублей.

Российские альтернативы: Яндекс.Формы, формы ВКонтакте (встроенные приложения), формы Битрикс24, RetailCRM. Они не идеальны по UX, но снимают риск 1–6 миллионов на ровном месте.

Когда родитель пишет жалобу — что делать оператору

Жалоба от родителя в РКН — самый частый триггер внеплановой проверки. Что делать оператору, как только пришло обращение или уведомление о проверке:

В течение 10 рабочих дней оператор обязан ответить субъекту персональных данных на его обращение (ст. 20 и ст. 21 ФЗ-152), при необходимости — продлить срок ещё на 5 рабочих дней с мотивированным уведомлением.
Если жалоба уже привела к проверке — собрать комплект документов: согласие, политика, приказ об ответственном по ст. 22.1, регистрационный номер в реестре операторов.
Если требуют удалить публикацию — удалить и зафиксировать факт удаления (скриншот «удалено», письменный ответ заявителю).
Если ситуация серьёзная (утечка, массовая публикация без согласий) — обратиться к юристу до подачи возражений на протокол.

Обратите внимание! Если случилась утечка ПДн (взлом, ошибка сотрудника, открытая ссылка), оператор обязан уведомить Роскомнадзор о факте инцидента в течение 24 часов и направить результаты внутреннего расследования в течение 72 часов. Норма установлена ч. 3.1 ст. 21 ФЗ-152 (введена Федеральным законом от 14.07.2022 № 266-ФЗ). Штраф за неуведомление — по ч. 11 ст. 13.11 КоАП, для юрлица от 1 000 000 до 3 000 000 ₽. Подробно — в справочнике штрафов 2026 года.

Чек-лист: 11 правил для VK-группы детской организации

☐ В описании группы есть наименование организации с ИНН.
☐ В описании группы есть ссылка на политику обработки ПДн.
☐ В описании группы есть контакт для обращений по вопросам ПДн (email или телефон ответственного).
☐ Бумажные согласия родителей на обработку ПДн ребёнка собраны и хранятся в личных делах. Согласие — отдельный документ (не пункт в общем договоре).
☐ Отдельное согласие на публикацию фото и видео — собрано и хранится. Без согласия — фото с лицом ребёнка не публикуется.
☐ Списки участников соревнований публикуются обезличенно (инициалы, без полного ФИО) или с явным согласием каждого участника.
☐ Медицинские справки не хранятся в ВК-переписке и общих чатах.
☐ Запись на занятия идёт через российскую форму (Яндекс.Формы, форма ВК, Битрикс24), не через Google Forms.
☐ Организация подала уведомление в реестр операторов РКН (ст. 22 ФЗ-152). Подробно про процедуру — в нашей инструкции.
☐ Назначен приказом ответственный за обработку ПДн (ст. 22.1 ФЗ-152), его ФИО и контакт указаны в политике.
☐ Рекламные посты в группе промаркированы (erid от ОРД), если они размещаются. Норма — ст. 18.1 Федерального закона от 13.03.2006 № 38-ФЗ «О рекламе» в редакции Федерального закона от 02.07.2021 № 347-ФЗ; обязательна с 1 сентября 2022 года.

Реальный сценарий: тренер из Карелии, день первой проверки

Возвращаемся к тому тренеру по плаванию из лида статьи. Что он сделал в первый же день после получения уведомления от Роскомнадзора:

Удалил из открытых постов все фото детей и протоколы соревнований с полными ФИО (за час ручного редактирования).
Добавил в описание группы строку с ИНН организации, ссылкой на политику и контактом ответственного — ту самую формулировку, что в начале статьи.
Заказал шаблон политики обработки ПДн и согласия родителя — упаковано в нашем тарифе «Руководителю» за 1 990 ₽.
Подал уведомление в реестр операторов через pd.rkn.gov.ru, использовав КЭП руководителя (получена бесплатно через УЦ ФНС).
На следующих тренировках раздал родителям комплект бумажных согласий и медицинских справок-собирающих заявок. За две недели собрал подписи на 90% воспитанников.
Перенёс приём заявок на новые наборы с Google Forms на Яндекс.Формы.

В итоге вместо штрафа от 300 тыс. ₽ инспектор вынес предостережение и закрыл дело. Сработал механизм по ч. 1 ст. 4.1.1 КоАП РФ — для субъектов малого предпринимательства первое нарушение может быть заменено на предупреждение.

Хотите проверить свою VK-группу за 30 секунд и узнать, какие из 11 правил у вас уже выполнены, а где есть пробелы? Запустите бесплатную диагностику PDN Guard: сервис найдёт ровно те же нарушения, которые автоматически фиксирует робот Роскомнадзора в первую очередь, и покажет, есть ли запись об организации в реестре операторов.

Если задача — сразу собрать готовый комплект документов под организацию: политика, согласие законного представителя, отдельное согласие на фото и видео, приказ об ответственном, заполненное уведомление в РКН под ваши цели и категории — это упаковано в тариф «Руководителю» за 1 990 ₽.

Дополнительно полезно прочитать: разбор политики обработки ПДн, инструкция по уведомлению РКН, как проводятся проверки, справочник штрафов 2026 года.

А у вас в школе, секции или НКО уже была жалоба родителя или предписание Роскомнадзора? Расскажите в комментариях, как разбирались — это поможет другим тренерам и директорам понять, что именно проверяет инспектор и какие документы нужны в первую очередь.