152-ФЗ для онлайн-школы: что защищать, чему согласие, куда бежать

EdTech-рынок РФ — 106 млрд ₽ по итогам 2025 года. Сотни онлайн-школ работают с данными студентов, большинство из которых несовершеннолетние. 152-ФЗ для EdTech — это не «оформить политику и забыть», это 5 отдельных режимов, каждый со своими штрафами. Разбираемся, что реально защищать и как встроить в процессы AI-бот на сайте.

Какие данные студентов считаются персональными

Для онлайн-школы в категорию ПДн попадает практически всё, что вы собираете при регистрации на курс:

• ФИО, телефон, email, дата рождения
• Никнейм в Telegram (если это идентифицирует человека)
• Школа / класс / курс / вуз / специальность
• Успеваемость, оценки, история прохождения модулей
• Результаты тестов и домашних заданий
• Фото и видео с занятий (если распознаётся лицо)
• Данные родителя, если студент несовершеннолетний
• Платёжные данные (маскированно на вашей стороне)

Последние две категории — история успеваемости и данные родителя — часто упускают. Успеваемость по 152-ФЗ, строго говоря, не «специальная категория» (как медицина), но договорная чувствительность сопоставимая: школа, где есть список неуспевающих с ФИО, — очевидный target для утечки.

Согласие для несовершеннолетних

Самая частая ошибка EdTech — брать согласие у самого студента, если ему 14-17 лет. Это работает для ст. 9 152-ФЗ только частично. Правильная практика:

• 0-13 лет: согласие даёт только родитель / законный представитель. Отдельным документом, не галочкой на сайте.
• 14-17 лет: согласие даёт сам студент + в документе указано уведомление родителя. Практика: школа делает двухступенчатую форму — студент регистрируется, родитель получает email с подтверждением и подписывает согласие.
• 18+: как обычный совершеннолетний.

Для корпоративного EdTech (B2B-курсы, которые компания закупает для сотрудников) — согласие даёт сотрудник, но работодатель обязан уведомить о передаче данных в EdTech-платформу.

Трансграничная передача: почему зарубежная CRM = проблема

Типичная EdTech-связка: лендинг (Tilda / Webflow) + CRM (AmoCRM / Bitrix24 / GetCourse) + email (Sendpulse / Unisender / MailChimp) + чат (Telegram / WhatsApp). Где здесь 152-ФЗ?

Зарубежные сервисы

• MailChimp, HubSpot, Intercom, ActiveCampaign, Notion — серверы в США / ЕС. Передача ПДн = запрос согласия на трансграничку отдельно, плюс уведомление РКН.
• Google Sheets / Google Forms для сбора заявок — инфраструктура Google за пределами РФ. Формально — тот же режим, что и с MailChimp.
• WhatsApp — Meta-инфраструктура, с 2024 ограничения по обработке. Рабочая версия: использовать только для общения, не хранить истории у себя с привязкой к ФИО.

Российские сервисы

• AmoCRM, Bitrix24, GetCourse, YClients — серверы в РФ, есть DPA. Работают штатно для 152-ФЗ.
• Telegram — юридически нейтрально. Практика: можно использовать для уведомлений, но не класть туда полный dossier студента.

Если сейчас стэк на зарубежной CRM — один из выходов: миграция на AmoCRM / GetCourse с оформлением согласия на трансграничку для ретроспективных данных. Цена миграции курса на 500 студентов — обычно 80-150 тысяч ₽ одноразово. Штраф за отсутствие согласия на трансграничку — от 300 тысяч ₽ за эпизод.

Где AI-бот помогает EdTech-школе

AI-бот на сайте EdTech-школы закрывает два больших блока: консультация абитуриентов и поддержка текущих студентов. Оба поддаются compliance-настройке.

Абитуриенты

Это 70-80% трафика на лендинг и 90% диалогов с ботом. Здесь важно то, что на этапе «задаю вопросы про курс» у вас ещё нет ПДн абитуриента. Бот отвечает на:

• Программа курса, длительность, формат (живые / записи)
• Цены, рассрочки, промокоды, возвраты
• Технические требования, подходит ли ребёнку в X лет
• Даты старта потоков, есть ли место в ближайшем
• Сертификаты, аккредитации, трудоустройство

Когда абитуриент говорит «хочу записаться на консультацию» — бот переключает режим: показывает чекбокс согласия, собирает минимальный контакт (имя + телефон или email) + желаемое направление + возраст ребёнка, если это детский курс. Дальше заявка уходит методисту.

Текущие студенты

Здесь осторожнее. Бот не должен иметь доступа к идентифицированной истории успеваемости конкретного студента, иначе вы обязаны защищать этот канал по всем правилам ПДн специальной категории. Рабочая схема: бот отвечает на вопросы по содержанию курса (что во втором модуле, где сдавать ДЗ), эскалирует все вопросы про личный прогресс наставнику.

Как Replyo настроен для EdTech

• Данные в РФ. Replyo хранит диалоги на серверах Яндекс.Облако в Санкт-Петербурге. Компания в реестре операторов ПДн Роскомнадзора.
• PII-strip до LLM. Перед отправкой сообщения студента в языковую модель из него вырезаются телефон, email, ФИО. Оригинал остаётся в локальной базе для методиста.
• Режим «не оформляет запись». Для EdTech этот флаг означает, что бот не может самостоятельно зачислить студента в курс. Это работа методиста, бот только собирает квалифицированную заявку.
• Consent-checkbox встроен. Когда бот собирается запросить контакт, автоматически показывает галочку согласия со ссылкой на вашу Политику.
• Telegram без ПДн. В алерт методисту приходит «Есть заявка ID #1243, откройте дашборд» — имя и телефон только внутри дашборда на РФ-сервере.

Минимальный чек-лист для launch

1. ИП / ООО на УСН 6% «Доходы»
2. Уведомление в РКН через pd.rkn.gov.ru
3. 5 документов: Политика, Согласие (отдельно), Согласие на трансграничку, Оферта, Cookie-policy
4. Двухступенчатая форма для подростков 14-17 лет
5. Ревизия стэка — все ли сервисы в РФ или согласие на трансграничку оформлено
6. Согласие + PII-strip на сайте и в боте
7. DPA с поставщиками (CRM, почта, AI-бот)

Подробнее про 152-ФЗ для SaaS — в соседнем разборе. Как работает PII-strip и Behavior-слой — в Trust Center. Попробовать бота на EdTech-сайте — Replyo trial, специфика для онлайн-школ — /for-edtech.