RODO w branży edukacyjnej – co musi wiedzieć każda szkoła i przedszkole?
W praktyce RODO w edukacji nie sprowadza się do dokumentów ani do „odhaczania obowiązków”. Z mojego doświadczenia wynika, że największym wyzwaniem w szkołach i przedszkolach jest połączenie ochrony danych z codzienną pracą z dziećmi, rodzicami i personelem, bez paraliżowania działalności placówki.
Po pierwsze, placówki edukacyjne muszą mieć świadomość, że przetwarzają dane dzieci, czyli osób objętych szczególną ochroną. Obejmuje to nie tylko dane identyfikacyjne, ale również informacje o zdrowiu, rozwoju, sytuacji rodzinnej, orzeczenia i opinie. To wymaga większej ostrożności, jasnych zasad dostępu do danych i dobrze przemyślanych procesów.
Po drugie, kluczowe znaczenie ma podstawa prawna przetwarzania. W edukacji bardzo często nie jest nią zgoda, lecz obowiązek wynikający z przepisów prawa oświatowego. Niewłaściwe sięganie po zgodę tam, gdzie nie jest potrzebna, albo jej brak tam, gdzie powinna być, to jeden z najczęstszych błędów.
Po trzecie, każda szkoła i przedszkole powinny mieć uporządkowaną dokumentację RODO, która odzwierciedla rzeczywiste procesy. Rejestr czynności przetwarzania, procedury naruszeń, zasady realizacji praw rodziców i uczniów czy współpracy z podmiotami zewnętrznymi to absolutne minimum. Dokumentacja ma pomagać w pracy, a nie istnieć wyłącznie na potrzeby kontroli.
Nie mniej istotny jest czynnik ludzki. Większość naruszeń w edukacji nie wynika ze złej woli, lecz z pośpiechu, rutyny i braku świadomości. Dlatego regularne szkolenia nauczycieli i personelu administracyjnego są jednym z najważniejszych elementów systemu ochrony danych.
RODO w branży edukacyjnej działa dobrze wtedy, gdy jest zintegrowane z codziennym funkcjonowaniem placówki. Szkoła czy przedszkole, które rozumie swoje procesy, odpowiedzialności i ryzyka, jest w stanie chronić dane dzieci i rodziców bez utraty płynności działania.
Spis treści
Czy RODO dotyczy szkół i przedszkoli?
Tak – każda placówka edukacyjna przetwarza dane osobowe uczniów, rodziców, pracowników i kontrahentów. Oznacza to konieczność spełnienia wymogów RODO oraz ustawy o ochronie danych osobowych z 10 maja 2018 r.
Rozliczalność – art. 5 ust. 2 RODO
W świetle art. 5 ust. 2 RODO, administrator danych osobowych w placówce edukacyjnej – czy to szkoła, uczelnia, czy organizator kursów – ponosi odpowiedzialność za przestrzeganie wszystkich zasad ochrony danych oraz musi być w stanie to udowodnić. Oznacza to konieczność posiadania dokumentów potwierdzających, że przyjęte procedury są faktycznie stosowane w codziennej działalności. Wymóg ten jest jednym z fundamentów RODO, ponieważ obliguje administratora nie tylko do opracowania i wdrożenia zabezpieczeń, procedur czy rozwiązań organizacyjnych, ale także do ich utrzymywania, monitorowania i dokumentowania. W praktyce oznacza to gotowość do przedstawienia odpowiednich materiałów w razie kontroli organu nadzorczego (UODO) lub na wniosek rodzica, ucznia, studenta czy uczestnika szkolenia.
Zasada rozliczalności obejmuje potwierdzenie przestrzegania m.in. zasad legalności, rzetelności i przejrzystości przetwarzania, ograniczenia celu, minimalizacji danych, ich poprawności, ograniczonego czasu przechowywania oraz zapewnienia integralności i poufności.
W kontekście instytucji edukacyjnych praktyczna realizacja tej zasady polega na stworzeniu i bieżącym aktualizowaniu polityki ochrony danych osobowych, która jasno określa procedury dotyczące m.in. gromadzenia danych uczniów, studentów, rodziców, pracowników i współpracowników, a także osób korzystających z zajęć lub szkoleń. Ważnym narzędziem jest również rejestr czynności przetwarzania, umożliwiający sprawdzenie w każdej chwili, jakie dane są gromadzone, w jakim celu, na jakiej podstawie prawnej i jak długo są przechowywane.
W przypadku procesów, które mogą stwarzać podwyższone ryzyko dla praw i wolności osób – np. rejestrowania wizerunku uczniów podczas zajęć czy przechowywania danych medycznych – niezbędne jest przeprowadzanie oceny skutków dla ochrony danych (DPIA). Taka analiza pozwala z wyprzedzeniem wykryć potencjalne zagrożenia i wprowadzić środki minimalizujące ryzyko. Istotną rolę odgrywają też procedury zgłaszania naruszeń ochrony danych, które zapewniają szybką i prawidłową reakcję w przypadku incydentu, a każde zdarzenie jest odnotowywane w rejestrze naruszeń.
Placówki edukacyjne powinny także organizować regularne audyty i kontrole doraźne, aby upewnić się, że przyjęte zasady faktycznie funkcjonują i skutecznie chronią dane. Niezbędnym uzupełnieniem są szkolenia dla kadry pedagogicznej i administracyjnej, które podnoszą świadomość pracowników w zakresie RODO i właściwego reagowania na incydenty.
Administrator musi posiadać konkretne dowody stosowania przyjętych rozwiązań – m.in. ewidencję upoważnień pracowników, kopie umów powierzenia danych (np. z firmami dostarczającymi systemy e-dzienników czy platformy e-learningowe), rejestry zgód na przetwarzanie oraz raporty z analiz ryzyka. W skrócie – rozliczalność oznacza bieżące i aktywne dokumentowanie zgodności działań z RODO oraz pełną kontrolę nad każdym procesem przetwarzania danych.
Administrator danych i odpowiedzialność
Administratorem danych osobowych jest szkoła lub przedszkole, reprezentowane przez dyrektora. To on odpowiada za:
- zgodność przetwarzania danych z prawem,
- wdrożenie dokumentacji i procedur,
- nadzór nad osobami upoważnionymi do przetwarzania danych.
Uwaga: Dyrektor nie może przenieść odpowiedzialności na nauczyciela, sekretariat czy firmę IT – to on ponosi odpowiedzialność jako administrator.
Obowiązek informacyjny wobec uczniów, rodziców i pracowników
Klauzula powinna zawierać: dane administratora, cele i podstawy prawne przetwarzania, kategorie odbiorców, prawa osoby, której dane dotyczą.
W sektorze edukacyjnym jednym z kluczowych wymogów RODO jest przejrzystość przetwarzania danych osobowych. Obowiązek informacyjny polega na tym, że szkoła, przedszkole, uczelnia czy organizator kursu musi jasno i zrozumiale poinformować uczniów, studentów, rodziców oraz pracowników o tym, jakie dane są gromadzone, w jakim celu będą przetwarzane, na jakiej podstawie prawnej, przez jaki okres oraz jakie prawa przysługują osobom, których dane dotyczą.
Obowiązek ten dotyczy zarówno sytuacji, gdy dane są zbierane bezpośrednio od osoby – np. podczas rekrutacji, wypełniania formularzy zgłoszeniowych czy zapisu na zajęcia – jak i wtedy, gdy pochodzą z innych źródeł, np. z systemów rekrutacyjnych, od innych instytucji edukacyjnych czy organizatorów wymian międzyszkolnych.
Informacja powinna być przekazana w sposób dostosowany do odbiorcy – może to być klauzula informacyjna dołączona do dokumentów rekrutacyjnych, publikacja w polityce prywatności na stronie internetowej szkoły, wiadomość e-mail, a nawet przekaz ustny podczas spotkania informacyjnego. Ważne, aby była sformułowana prostym językiem, zrozumiałym również dla rodziców czy opiekunów prawnych, a w przypadku uczniów pełnoletnich – także dla nich samych.
Termin realizacji obowiązku zależy od źródła danych. Jeśli szkoła lub uczelnia pozyskuje dane bezpośrednio – należy przekazać informacje najpóźniej w chwili ich zebrania. Jeżeli dane pochodzą z zewnętrznego źródła – informacja powinna trafić do osoby, której dotyczą, maksymalnie w ciągu miesiąca od ich pozyskania lub przy pierwszym kontakcie, jeśli nastąpi on wcześniej.
Rzetelne spełnienie obowiązku informacyjnego zwiększa zaufanie do placówki i pokazuje jej dbałość o prawa społeczności szkolnej czy akademickiej. Zaniechanie tego wymogu może skutkować nie tylko sankcjami finansowymi nałożonymi przez organ nadzorczy, ale też utratą reputacji w środowisku lokalnym.
Inspektor ochrony danych (IOD) w placówkach oświatowych
Publiczne szkoły i przedszkola mają obowiązek powołania IOD. Placówki niepubliczne – jeśli przetwarzają dane na dużą skalę lub przetwarzają dane wrażliwe – również powinny to rozważyć.
Rola IOD:
- doradza dyrektorowi i pracownikom,
- kontroluje zgodność z RODO,
- kontaktuje się z UODO oraz osobami, których dane dotyczą.
Na co trzeba zwrócić uwagę?
Ochrona danych osobowych w placówkach oświatowych to nie tylko kwestia formalności, ale realna odpowiedzialność za bezpieczeństwo informacji dzieci, rodziców i pracowników. W codziennej praktyce szkoły i przedszkola muszą świadomie podejmować decyzje dotyczące zgód, dokumentacji, zabezpieczeń oraz reagowania na incydenty. Poniżej przedstawiamy kluczowe obszary, na które warto zwrócić szczególną uwagę, aby zapewnić zgodność z przepisami i budować kulturę świadomej ochrony danych.
Zgody i legalność przetwarzania danych
Nie każda sytuacja wymaga zgody rodziców. Przykłady:
- Nie wymaga zgody – prowadzenie dziennika, rekrutacja, wydawanie świadectw, współpraca z kuratorium.
- Wymaga zgody – publikacja zdjęcia dziecka na stronie internetowej, udział w konkursie organizowanym przez firmę zewnętrzną.
Placówka powinna zawsze kierować się zasadą minimalizacji danych – zbieramy tylko to, co jest naprawdę niezbędne.
Rejestr czynności przetwarzania
Wielu administratorów w sektorze edukacyjnym traktuje rejestr czynności przetwarzania jako zbędny formalizm. Tymczasem jego prowadzenie wynika wprost z art. 30 RODO i ma ogromne znaczenie dla uporządkowania i nadzorowania procesów przetwarzania danych. Dobrze prowadzony rejestr pozwala szybko udowodnić, że dane uczniów, studentów czy uczestników kursów są przetwarzane zgodnie z prawem.
Celem rejestru jest opisanie wszystkich procesów przetwarzania danych – od rekrutacji, przez prowadzenie dokumentacji przebiegu nauki, po archiwizację świadectw czy dyplomów – wskazanie podstaw prawnych, celów, odbiorców danych oraz stosowanych zabezpieczeń. UODO może zażądać dostępu do rejestru w dowolnym momencie.
Obowiązek prowadzenia rejestru dotyczy wszystkich administratorów i podmiotów przetwarzających dane w ich imieniu. Zwolnienia przewidziane dla mikroprzedsiębiorstw nie mają w praktyce zastosowania w szkołach czy uczelniach, które stale gromadzą dane wrażliwe (np. o stanie zdrowia ucznia lub specjalnych potrzebach edukacyjnych).
Rejestr powinien zawierać: czynność przetwarzaną, dane administratora i inspektora ochrony danych, cele przetwarzania, kategorie danych (np. oceny, adresy, dane kontaktowe rodziców), odbiorców danych (np. kuratorium, ministerstwo, firmy obsługujące platformy edukacyjne), planowane terminy usunięcie poszczególnych kategorii danych, podstawy prawne, źródło danych, transfer do kraju trzeciego (jeśli dotyczy) oraz opis stosowanych zabezpieczeń. Może być prowadzony w arkuszu kalkulacyjnym, dokumencie tekstowym lub w dedykowanym systemie informatycznym. Kluczowe jest, aby był kompletny, aktualny i odzwierciedlał rzeczywisty stan w placówce.
Bezpieczeństwo danych i szkolenia personelu
Szkoły i przedszkola muszą wdrożyć środki techniczne i organizacyjne chroniące dane osobowe. Oznacza to m.in.:
- zabezpieczenia systemów informatycznych (np. hasła, backupy, szyfrowanie),
- fizyczne zabezpieczenia dokumentacji,
- procedury dostępu i udostępniania danych.
Bardzo ważne są też szkolenia z RODO dla personelu – w tym nauczycieli, sekretariatów i kadry kierowniczej.
Monitoring wizyjny w szkołach i przedszkolach
Monitoring wizyjny można stosować tylko wtedy, gdy jest to niezbędne do zapewnienia bezpieczeństwa.
Niedozwolone jest umieszczanie kamer w:
- toaletach,
- gabinetach psychologa,
- pokojach nauczycielskich.
O monitoringu trzeba poinformować rodziców i pracowników, a także określić czas przechowywania nagrań (np. 3 miesiące).
Zgłaszanie naruszeń danych osobowych
Jeśli dojdzie do naruszenia ochrony danych (np. zgubienie dokumentów, wysyłka maila do złej osoby, udostępnienie danych bez podstawy), należy:
- zgłosić incydent do Prezesa UODO w ciągu 72 godzin,
- poinformować osoby, których dane dotyczą – jeśli naruszenie może powodować ryzyko dla ich praw i wolności.
Ważne, by każda placówka miała wewnętrzną procedurę reagowania na incydenty.
Powierzenie danych
Powierzenie przetwarzania danych w edukacji ma miejsce, gdy szkoła, uczelnia czy organizator kursów przekazuje dane innemu podmiotowi w celu ich przetwarzania – np. firmie obsługującej e-dziennik, dostawcy platformy e-learningowej czy firmie szkoleniowej realizującej projekt na zlecenie. Administrator (placówka) nadal odpowiada za zgodność procesu z RODO, a przetwarzanie odbywa się na podstawie umowy powierzenia, zgodnej z art. 28 RODO.
Umowa powierzenia
Taka umowa powinna określać m.in.: zakres i cel przetwarzania, rodzaj danych (np. imiona, nazwiska, wyniki egzaminów), czas trwania umowy, obowiązki procesora (w tym stosowanie zabezpieczeń z art. 32 RODO), zasady dostępu do danych, procedury po zakończeniu współpracy, warunki korzystania z podwykonawców, kontrolę i audyt, odpowiedzialność stron oraz dodatkowe postanowienia dotyczące np. przekazywania danych poza EOG.
Analiza ryzyka
Analiza ryzyka w rozumieniu RODO w sektorze edukacyjnym to proces oceny potencjalnych zagrożeń związanych z przetwarzaniem danych osobowych uczniów, studentów, rodziców, pracowników oraz innych osób korzystających z oferty placówki. Jej celem jest ustalenie, jakie skutki ewentualne naruszenia mogą mieć dla praw i wolności tych osób. Choć RODO nie zawiera ścisłej definicji „ryzyka”, jasno wskazuje, że chodzi o konsekwencje niewłaściwego przetwarzania – zarówno natury technicznej i prawnej, jak i wpływające na prywatność. W przypadku instytucji edukacyjnych mogą to być m.in. ujawnienie ocen lub opinii o uczniach, nieuprawniony dostęp do dokumentacji przebiegu nauki, utrata danych kontaktowych rodziców czy wyciek informacji medycznych o uczniach ze specjalnymi potrzebami.
Zgodnie z motywem 76 RODO, przy ocenie ryzyka należy uwzględnić charakter, zakres, kontekst i cele przetwarzania danych w placówce, a następnie dopasować do nich właściwe środki ochrony. Zasada podejścia opartego na ryzyku oznacza, że im większe zagrożenie – np. przy przetwarzaniu danych wrażliwych dzieci – tym bardziej rozbudowane powinny być zabezpieczenia organizacyjne (np. procedury dostępu, szkolenia kadry) i techniczne (np. szyfrowanie, kontrola logowań).
Proces analizy zaczyna się od identyfikacji możliwych zagrożeń, takich jak zgubienie nośnika z danymi uczniów, przejęcie konta w e-dzienniku czy ujawnienie niepublicznych informacji na platformie e-learningowej. Następnie ocenia się prawdopodobieństwo wystąpienia danego incydentu oraz jego skutki – często w skali punktowej (np. 1–10). Wynik pozwala określić średni poziom ryzyka i podjąć decyzję, czy dany proces można kontynuować, należy go dodatkowo zabezpieczyć, czy też konieczne jest przeprowadzenie oceny skutków dla ochrony danych (DPIA) lub rezygnacja z przetwarzania w danej formie.
Rzetelna analiza ryzyka w placówce edukacyjnej powinna brać pod uwagę m.in.czynność przetwarzania, podatność, zidentyfikowane ryzyko, wpływ na prawa i wolności osób fizycznych, wdrożone zabezpieczenia, prawdopodobieństwo wraz z powagą i ostateczna decyzja dot. przetwarzania.
Dzięki skrupulatnie stworzonej analizie ryzyka możliwe jest dobranie takich środków ochrony, które zapewnią zgodność z RODO, bezpieczeństwo danych społeczności szkolnej lub akademickiej oraz minimalizację ryzyka konsekwencji prawnych w razie kontroli.
Podsumowanie i oferta Ratio-Go
RODO w branży edukacyjnej to realna odpowiedzialność, a nie tylko formalność.
Szkoły i przedszkola muszą:
- spełniać obowiązek informacyjny,
- zapewniać bezpieczeństwo danych,
- prowadzić rejestry,
- szkolić personel,
- powołać IOD (jeśli wymagane),
- reagować na naruszenia.
Dla placówek edukacyjnych przygotowaliśmy pakiety wsparcia:
✔️ Szkolenia RODO dla nauczycieli i administracji (online i stacjonarne),
✔️ Audyty RODO i raporty zgodności,
✔️ Pomoc w prowadzeniu rejestrów, tworzeniu klauzul i zgód,
✔️ Wsparcie Inspektora Ochrony Danych (IOD) na abonament,
✔️ Gotowe procedury na wypadek naruszenia danych.
Sprawdź:
Potrzebujesz pomocy w zgłoszeniu naruszenia ochrony danych osobowych? Napisz do nas pomożemy!
