Иконка поиска

Вопрос

Нужно ли репетитору подавать уведомление в РКН при использовании онлайн-платформы для тестов, если в договоре указано, что она оператор персональных данных

Добрый день! Я репетитор, с нового учебного года планирую начать заниматься через одну российскую онлайн-платформу для создания тестов. Там я буду составлять задания и отправлять их ученикам. Видимо, платформа будет обрабатывать какие-то данные учеников (имя, может, email). Подскажите, нужно ли мне лично подавать уведомление в РКН о начале обработки персональных данных или это делает сама платформа? Я пока ничего не начал, хочу понять заранее. В договоре с платформой написано, что они оператор, но я же тоже имею доступ к результатам. Буду благодарен за разъяснение.

Вопрос №84303Ответы: 1
03.07.2026
Аватар НейроадвокатаНейроадвокат

В рассматриваемой ситуации репетитор планирует использовать внешнюю российскую онлайн-платформу для создания и отправки тестов ученикам. При этом платформа будет обрабатывать персональные данные учеников, такие как имя и адрес электронной почты. Репетитор, в свою очередь, будет иметь доступ к результатам тестирования, что означает, что он сможет ознакомиться с информацией, связанной с конкретными учениками.

Юридически значимым является определение статуса репетитора в отношении персональных данных учеников. Согласно российскому законодательству, оператором персональных данных признается лицо, которое самостоятельно или совместно с другими лицами организует и (или) осуществляет обработку таких данных, а также определяет цели и содержание обработки. В данном случае договор с платформой уже закрепляет за ней статус оператора, что указывает на то, что именно платформа принимает решения о целях и способах обработки данных (например, как хранить ФИО и email, как обеспечивать защиту информации).

Однако репетитор, получая доступ к результатам тестов, которые содержат персональные данные учеников (например, оценка, привязанная к имени), также фактически имеет возможность ознакомления с такими данными. Вопрос в том, достаточно ли этого для признания репетитора оператором. Ключевым критерием здесь является то, кто определяет цель обработки данных. Если репетитор использует платформу исключительно как инструмент, не вмешиваясь в процессы сбора и хранения данных (не создает базы данных, не устанавливает правила их обработки), а лишь пользуется готовым функционалом, его роль может быть сведена к пользователю сервиса, а не к самостоятельному оператору.

Тем не менее, необходимо учесть, что репетитор, задавая параметры теста (кто из учеников должен его пройти) и просматривая результаты, де-факто определяет, какие данные будут обрабатываться (кого из учеников добавить в систему) и для какой цели (проверка знаний). Это может быть расценено как участие в определении содержания обработки, что потенциально порождает обязанности оператора. Соответственно, ситуация требует тщательного анализа: является ли репетитор обычным пользователем, чьи действия не выходят за рамки условий использования платформы, или же его действия можно квалифицировать как самостоятельную обработку персональных данных.

Подача уведомления в Роскомнадзор является обязанностью оператора. Если репетитор не будет признан оператором, такое уведомление подавать не требуется. Если же его действия будут подпадать под определение оператора, то возникает необходимость в уведомлении. Таким образом, центральным вопросом является правовая квалификация действий репетитора в контексте обработки персональных данных.

Центральным вопросом в данной ситуации является правовой статус репетитора применительно к обработке персональных данных учеников (имя, email, а также результаты тестов). Для его разрешения необходимо последовательно применить нормы, регламентирующие понятие персональных данных, обязанности оператора и порядок уведомления уполномоченного органа.

Прежде всего, следует установить, относятся ли сведения, с которыми будет работать репетитор, к персональным данным. Согласно ст. 3 Федерального закона «О персональных данных», под персональными данными понимается любая информация, относящаяся к прямо или косвенно определенному или определяемому физическому лицу. Имя ученика и его адрес электронной почты однозначно идентифицируют конкретного субъекта, а результаты тестов, привязанные к таким данным, также позволяют определить лицо. Следовательно, эти сведения являются персональными данными, и их обработка подчиняется требованиям Закона № 152-ФЗ.

Столкнулись с похожей ситуацией?

Подробно опишите детали,
и Нейроадвокат подберёт решение

Закон не связывает статус оператора исключительно с формальным указанием в договоре. Репетитор, самостоятельно определяя цель обработки данных учеников (проведение тестирования, оценка знаний) и принимая решение о круге лиц, чьи данные будут загружены в систему, действует как лицо, организующее обработку, и признаётся оператором персональных данных наряду с платформой. Поскольку ни одно из исключений, предусмотренных ч. 2 ст. 22 Федерального закона «О персональных данных», к вашей деятельности не применимо, вы обязаны самостоятельно подать уведомление в Роскомнадзор до начала фактической обработки данных учеников. Тот факт, что платформа технически собирает email и хранит результаты, а в договоре названа оператором, не снимает с вас установленной законом обязанности по уведомлению.

Рекомендуемые действия

  • До начала учебного года и до загрузки каких-либо сведений об учениках на платформу подайте уведомление о начале обработки персональных данных в территориальный орган Роскомнадзора по вашему месту регистрации (лично или через портал Госуслуг).
  • Получите от учеников (или их законных представителей) письменное согласие на обработку персональных данных, в котором перечислите конкретные действия (сбор, запись, передача платформе, оценка результатов) и ресурсы, которые вы используете.
  • Не полагайтесь на утверждение платформы об исключительном статусе оператора: ваш доступ к результатам и определение целей тестирования требуют от вас выполнения обязанностей оператора независимо от содержания договора с сервисом.
  • Запросите у платформы актуальную политику обработки персональных данных и приказ о назначении ответственного за организацию обработки ПДн — эти документы подтвердят, что вторая сторона также соблюдает требования закона, и помогут минимизировать риски.
  • Привлеките адвоката для проверки пользовательского соглашения с платформой на предмет разграничения вашей ответственности и готовности сервиса к исполнению запросов субъектов данных (например, на удаление или уточнение сведений).