редакции
Мы просканировали сайты 100 лучших вузов страны: почти все отправляют данные абитуриентов за границу
С чего всё началось.
Каждое лето сотни тысяч абитуриентов оставляют на сайтах вузов очень чувствительный набор данных: ФИО, паспорт, СНИЛС, аттестат, иногда справки о здоровье. И есть интуиция, которой все пользуются: топовый вуз это надёжно.
Мы решили проверить, так ли это. А заодно ответить на вопрос, который давно нас занимал. Нарушения 152-ФЗ мы находим буквально у всех подряд, и хотелось понять причину: это халатность конкретных людей, коммерческий расчёт или что-то системное, что действует на всех одинаково?
Чтобы это выяснить, нужен был правильный подопытный. И вузы подошли идеально.
Почему именно вузы?
Вуз это худший возможный подозреваемый в версии «нарушают ради выгоды»:
- у него нет коммерческого мотива торговать данными абитуриентов, в отличие от рекламного бизнеса;
- это крупная организация с ИТ-отделом и бюджетом, а не стартап на коленке;
- репутация для вуза критична, скандал с утечкой ему не нужен;
- часть вузов буквально преподаёт информационное право и сам 152-ФЗ.
Логика простая: если даже здесь, где нет ни жадности, ни нехватки ресурсов, ни безразличия к репутации, всё окажется плохо, значит, дело не в людях. Значит, причина в чём-то, что срабатывает у всех автоматически.
Мы взяли 100 вузов из рейтинга RAEX «100 лучших вузов России» (в анализ вошло 98) и выставили каждому сайту score от 0 до 100 по десяткам проверок 152-ФЗ: cookie-баннер, порядок загрузки трекеров, политика обработки данных, формы и согласие, передача данных за рубеж.
Что мы увидели?
Первое наблюдение заключалось в том, что рейтинг и защита данных вообще не связаны. Медиана score по выборке всего 62, разброс от 15 до 95, а половина первой десятки рейтинга застряла около 50 из 100. Место в академическом рейтинге не говорит ничего о том, что происходит с вашими данными на этом сайте.
Второе наблюдение оказалось главным. Там, где на сайте есть сторонние скрипты, они почти всегда срабатывают ДО того, как посетитель нажал «Принять» в cookie-баннере (а часто баннера и нет вовсе):
🔸 трекеры до согласия на cookie: 100% (91 сайт из 91);
🔸 Google Analytics и Tag Manager: 100% там, где установлены;
🔸 Google Fonts: 100% там, где подключены;
🔸 Google reCAPTCHA: 100% там, где стоит.
Каждый такой скрипт при загрузке отправляет IP и технические идентификаторы посетителя на серверы Google за пределами РФ. Это трансграничная передача персональных данных (ст. 12 152-ФЗ), а сам факт срабатывания трекеров без согласия противоречит ст. 6 и позиции Роскомнадзора.
Здесь важная деталь. Данные за границу уводит не аналитика сама по себе, а именно зарубежные скрипты: Google Analytics, Fonts и reCAPTCHA отправляют их на серверы за пределами РФ. Аналитика, которая хранит данные в России, границу не пересекает. То есть проблему «данные за рубеж» можно закрыть, не отказываясь от веб-аналитики: достаточно убрать зарубежные скрипты или заменить их на решения с хранением в РФ. Отдельно помните: любой трекер, включая российский, по закону должен подгружаться только после согласия на cookie, а не при заходе на страницу.
И отдельно документы: 96% разобранных политик обработки ПДн содержат хотя бы один отсутствующий или неполный обязательный раздел, а у 18% вузов политики нет вообще.
К чему мы пришли
Мы шли искать виноватых, а нашли настройку по умолчанию.
Ровно 100%, а не 60% и не 80%, получается именно потому, что никто не принимал решения нарушать. Google Fonts и reCAPTCHA ставятся из коробки почти любой CMS. Аналитику подключает маркетолог одной строкой кода. Политику скачивают из интернета и не вычитывают. А механизм согласия, который блокировал бы скрипты до клика по баннеру, нужно настраивать отдельно, и об этом почти никто не думает.
Вывод получился неожиданно простой и неприятный: интернет по умолчанию не соответствует 152-ФЗ. Соответствие это то, что нужно сознательно включить, а не то, что появляется само. Поэтому проблема тотальная и одинаковая у вуза, интернет-магазина и юридической фирмы: все они собраны из одних и тех же кирпичей с одними и теми же настройками по умолчанию.
Для бизнеса отсюда два вывода. Первый: если вы никогда целенаправленно не занимались 152-ФЗ на своём сайте, вы почти наверняка в тех самых 100%, и это не потому, что вы плохая компания. Второй, обнадёживающий: ровно поэтому это чинится понятными техническими шагами, а не переделкой бизнеса.
Чем это грозит в 2026 (актуально, реформа 420-ФЗ)
С 30 мая 2025 года штрафы по 152-ФЗ выросли кратно:
- обработка ПДн без согласия: для юрлица от 300 000 до 700 000 ₽, повтор от 1 000 000 до 1 500 000 ₽;
- нет политики обработки ПДн на сайте: для юрлица от 30 000 до 60 000 ₽
- утечка данных: от 3 000 000 до 15 000 000 ₽ в зависимости от объёма;
- утечка специальных категорий (например, данные о здоровье): от 10 000 000 до 15 000 000 ₽;
- повторная крупная утечка: оборотный штраф, процент от годовой выручки.
Важный нюанс: оштрафовать могут не за гипотетическую утечку в будущем, а за то, что видно снаружи прямо сейчас, за минуту: трекеры до согласия, отсутствие политики, форма без корректного согласия.
Что проверить у себя и как сделать это бесплатно?
1. Cookie-баннер реально блокирует трекеры ДО согласия, а не просто информирует о cookie.
2. Google Fonts подключены локально, со своего сервера, а не с серверов Google.
3. reCAPTCHA и аналитика Google заменены на решения без трансграничной передачи или грузятся только после согласия.
4. Политика обработки ПДн опубликована, и в ней есть цели, перечень данных, сроки хранения, передача третьим лицам, права субъекта, реквизиты оператора.
5. У каждой формы стоит ссылка на политику и непредзаполненный чекбокс согласия.
6. Уведомление в Роскомнадзор подано, данные хранятся на серверах в РФ.
Тот же скан, что мы прогнали по вузам, работает для любого сайта и бесплатен: вводите адрес и получаете score и список конкретных проблем с формами, политикой и трекерами. Прогнать свой сайт можно здесь: scanbase.ru
