RODO w szkole — dane uczniów, e-dziennik i monitoring w edukacji

Placówki oświatowe przetwarzają ogromne ilości danych osobowych — i to danych szczególnie wrażliwych, bo dotyczących dzieci. Imiona i nazwiska, oceny, frekwencja, informacje o zdrowiu i orzeczeniach, wizerunek, dane logowania do e-dziennika — wszystko to wymaga ochrony zgodnej z RODO. Jednocześnie RODO przyznaje dzieciom szczególną ochronę, a UODO konsekwentnie zwraca uwagę na nadużycia w sektorze edukacji.

Szkoła działa w specyficznym otoczeniu prawnym: większość przetwarzania wynika wprost z przepisów oświatowych, część wymaga zgody, a niektóre praktyki — jak biometria czy nieprzemyślany monitoring — bywają wprost niedopuszczalne. Dyrektor jako administrator danych odpowiada za to, by każdy proces miał właściwą podstawę prawną i odpowiednie zabezpieczenia.

W tym artykule omawiam, jakie dane przetwarza szkoła, na jakich podstawach prawnych, jak prawidłowo prowadzić e-dziennik, stosować monitoring i publikować wizerunek uczniów oraz jakich błędów unikać.

Jakie dane przetwarza szkoła

Placówka oświatowa przetwarza zróżnicowane kategorie danych:

Dane identyfikacyjne ucznia i rodziców — imię, nazwisko, PESEL, adres, dane kontaktowe rodziców/opiekunów prawnych.

Dane o przebiegu nauczania — oceny, frekwencja, uwagi, wyniki egzaminów, świadectwa.

Dane o zdrowiu i potrzebach — orzeczenia i opinie poradni psychologiczno-pedagogicznej, informacje o niepełnosprawności, alergiach, chorobach przewlekłych. To dane szczególnych kategorii (art. 9 RODO), wymagające wzmożonej ochrony.

Wizerunek — zdjęcia z uroczystości, strona internetowa, media społecznościowe szkoły.

Dane z e-dziennika — loginy, hasła, logi aktywności rodziców i uczniów.

Dane pracownicze — nauczyciele i pozostali pracownicy (odrębny obszar, oparty m.in. na prawie pracy).

Każda z tych kategorii wymaga odrębnej analizy celu, podstawy prawnej i okresu przechowywania.

Podstawy prawne przetwarzania w oświacie

Sektor edukacji rządzi się inną logiką niż biznes. Szkoła publiczna jako podmiot wykonujący zadania publiczne opiera większość przetwarzania na przepisach, a nie na zgodzie.

Obowiązek prawny (art. 6 ust. 1 lit. c RODO) — przetwarzanie wynikające z ustawy Prawo oświatowe, ustawy o systemie oświaty, ustawy o systemie informacji oświatowej oraz przepisów wykonawczych (m.in. dotyczących dokumentacji przebiegu nauczania). To podstawowa podstawa dla danych o uczniach.

Zadanie realizowane w interesie publicznym (art. 6 ust. 1 lit. e RODO) — przetwarzanie w ramach realizacji zadań oświatowych szkoły.

Zgoda (art. 6 ust. 1 lit. a RODO) — tylko poza zakresem obowiązków ustawowych: publikacja wizerunku, udział w zajęciach dodatkowych, ubezpieczenie grupowe, konkursy.

Dane szczególnych kategorii (art. 9 RODO) — dane o zdrowiu uczniów przetwarza się na podstawie odrębnej przesłanki z art. 9 ust. 2 (najczęściej w związku z obowiązkami wynikającymi z przepisów prawa lub ze względu na ważny interes publiczny), nigdy „przy okazji”.

Istotne: szkoła publiczna jako organ wykonujący zadania publiczne co do zasady nie może opierać przetwarzania na uzasadnionym interesie (art. 6 ust. 1 lit. f jest dla niej wyłączony w zakresie realizacji zadań). To zasadnicza różnica względem podmiotów prywatnych. Czym jest uzasadniony interes i kiedy nie można go stosować, opisujemy w osobnym artykule.

Szczególna ochrona danych dzieci

RODO wprost podkreśla, że dzieci wymagają szczególnej ochrony, ponieważ mogą być mniej świadome ryzyka i swoich praw (motyw 38). W praktyce oznacza to m.in., że klauzule informacyjne kierowane do uczniów powinny być sformułowane prostym, zrozumiałym językiem, a każda ocena ryzyka i test proporcjonalności muszą uwzględniać status dziecka.

Przy usługach społeczeństwa informacyjnego oferowanych bezpośrednio dziecku zgodę może wyrazić samodzielnie dziecko, które ukończyło 16 lat (granicę tę przyjęto w polskich przepisach); dla młodszych zgodę wyraża lub autoryzuje rodzic albo opiekun prawny (art. 8 RODO). W codziennej praktyce szkolnej, gdzie podstawą jest najczęściej przepis prawa, zgoda dotyczy przede wszystkim wizerunku i aktywności dodatkowych.

E-dziennik i dokumentacja przebiegu nauczania

Dziennik elektroniczny to dziś standard. Z perspektywy RODO kluczowe są trzy kwestie.

Podstawa prawna. Prowadzenie dokumentacji przebiegu nauczania (w tym dziennika) wynika z przepisów oświatowych — podstawą jest obowiązek prawny, nie zgoda. Rodzic nie „zgadza się” na e-dziennik w zakresie wymaganym prawem.

Dostawca e-dziennika jako podmiot przetwarzający. Firma dostarczająca system e-dziennika przetwarza dane uczniów w imieniu szkoły, jest więc podmiotem przetwarzającym — konieczna jest umowa powierzenia przetwarzania zgodna z art. 28 RODO. Sprawdź, czy umowa obejmuje wszystkie wymagane elementy, w tym kwestie podpowierzenia i lokalizacji danych. Przewodnik po umowach powierzenia znajdziesz tutaj.

Bezpieczeństwo. System musi zapewniać kontrolę dostępu (odrębne konta rodziców, uczniów, nauczycieli), bezpieczne uwierzytelnianie, szyfrowanie transmisji i przechowywanie haseł w formie zahashowanej. Zakres danych widocznych dla poszczególnych ról powinien być ograniczony do niezbędnego minimum.

Wizerunek uczniów — zdjęcia, strona i media społecznościowe

Publikacja wizerunku uczniów (na stronie szkoły, w mediach społecznościowych, w gazetkach) to częste źródło problemów. Tu zgoda jest co do zasady niezbędna — i to podwójnie: jako podstawa przetwarzania danych osobowych (art. 6 ust. 1 lit. a RODO) oraz jako zgoda na rozpowszechnianie wizerunku (art. 81 prawa autorskiego). Dla uczniów małoletnich zgodę wyraża rodzic lub opiekun prawny.

Zgoda na wizerunek powinna być odrębna, konkretna (wskazywać kanały publikacji), dobrowolna i możliwa do wycofania w każdej chwili. Nie wolno uzależniać udziału w życiu szkoły od zgody na publikację wizerunku. Warto też pamiętać, że zdjęcia z grupowych wydarzeń wymagają przemyślenia — szczególnie przy publikacji w internecie.

Monitoring wizyjny w szkole

Monitoring w placówkach oświatowych reguluje art. 108a Prawa oświatowego (dodany w 2018 r.). Zasady są ściśle określone:

Cel. Monitoring można wprowadzić, jeśli jest to niezbędne do zapewnienia bezpieczeństwa uczniów i pracowników lub ochrony mienia. Nie wolno go używać do nadzorowania jakości pracy nauczycieli.

Wyłączone pomieszczenia. Monitoring nie obejmuje sal lekcyjnych, pomieszczeń, w których udzielana jest pomoc psychologiczno-pedagogiczna, gabinetu profilaktyki zdrowotnej, szatni, przebieralni i pomieszczeń sanitarnohigienicznych — chyba że jest to wyjątkowo niezbędne ze względu na realne zagrożenie i przy zastosowaniu technik uniemożliwiających rozpoznanie osób.

Bez dźwięku. Monitoring obejmuje wyłącznie obraz; rejestracja dźwięku jest niedopuszczalna.

Procedura. Wprowadzenie monitoringu wymaga uzgodnienia z organem prowadzącym oraz konsultacji z radą pedagogiczną, radą rodziców i samorządem uczniowskim. Dyrektor informuje uczniów i pracowników nie później niż 14 dni przed uruchomieniem, a teren oznacza w sposób widoczny.

Retencja. Nagrania przechowuje się co do zasady maksymalnie 3 miesiące od dnia zarejestrowania, po czym należy je usunąć (chyba że stanowią dowód w postępowaniu).

Ogólne zasady monitoringu wizyjnego zgodnego z RODO opisujemy w osobnym artykule.

Dane biometryczne uczniów — szczególna ostrożność

Pokusa, by wykorzystać biometrię (np. odcisk palca do obsługi stołówki czy ewidencji obecności), bywa duża — ale jest to obszar wysokiego ryzyka. Dane biometryczne służące do jednoznacznej identyfikacji to dane szczególnych kategorii (art. 9 RODO), a w przypadku dzieci wymagają wyjątkowej rozwagi: są niezmienne, a skutki ewentualnego wycieku nieodwracalne.

W głośnej sprawie Prezes UODO zakwestionował pobieranie odcisków palców uczniów do obsługi stołówki szkolnej (decyzja z 18 lutego 2020 r. dotycząca szkoły w Gdańsku), uznając przetwarzanie danych biometrycznych dzieci za nieproporcjonalne do celu i podważając dobrowolność zgody rodziców — tym bardziej że uczniowie bez identyfikacji biometrycznej byli traktowani gorzej w kolejce po obiad. Choć decyzja ta została następnie uchylona przez sąd administracyjny, sprawa dobrze ilustruje podejście organu: do prostych celów (np. weryfikacja opłaty za posiłek) należy wybierać środki najmniej ingerujące w prywatność — kartę, identyfikator albo identyfikację po nazwisku — zamiast danych biometrycznych.

Chmura w edukacji — Google Workspace, Microsoft 365

Coraz więcej szkół korzysta z platform chmurowych do nauki zdalnej, poczty i pracy na dokumentach. Z perspektywy RODO szkoła pozostaje administratorem danych, a dostawca usługi jest podmiotem przetwarzającym. Wiąże się to z trzema obowiązkami: zawarciem umowy powierzenia (art. 28), zweryfikowaniem transferu danych poza EOG (wiele usług przekazuje dane do USA — konieczny mechanizm transferu, np. DPF lub standardowe klauzule umowne) oraz oceną ryzyka. Przy przetwarzaniu danych dzieci na dużą skalę często konieczne jest przeprowadzenie oceny skutków dla ochrony danych (DPIA).

Więcej o transferze danych poza EOG przeczytasz w naszym przewodniku.

Jak przeprowadzić DPIA opisujemy krok po kroku w dedykowanym artykule.

System Informacji Oświatowej (SIO)

Szkoły przekazują określone dane do Systemu Informacji Oświatowej — centralnej bazy prowadzonej na podstawie ustawy o SIO. Podstawą tego przetwarzania jest obowiązek prawny; zakres przekazywanych danych wyznaczają przepisy, a szkoła nie może go dowolnie rozszerzać ani zawężać.

Inspektor Ochrony Danych w szkole

Szkoła publiczna, jako organ lub podmiot publiczny, ma obowiązek wyznaczyć inspektora ochrony danych (art. 37 ust. 1 lit. a RODO). IOD wspiera dyrektora w nadzorze nad zgodnością z RODO, monitoruje przestrzeganie przepisów, prowadzi szkolenia i jest punktem kontaktu dla uczniów, rodziców i UODO. Rolę i obowiązki IOD opisujemy szczegółowo w osobnym artykule.

Prawa uczniów i rodziców

Uczniom i rodzicom przysługują prawa wynikające z RODO — w szczególności prawo dostępu do danych i ich sprostowania. Część praw jest jednak ograniczona przez przepisy oświatowe: nie można np. żądać usunięcia ocen czy dokumentacji, której prowadzenie i przechowywanie nakazuje prawo. Szkoła powinna jasno informować, które dane przetwarza obowiązkowo, a które na podstawie zgody (i te ostatnie usuwać po jej wycofaniu).

Najczęstsze błędy

Opieranie wszystkiego na zgodzie — większość danych uczniów przetwarza się na podstawie przepisów prawa, nie zgody.

Publikacja wizerunku bez prawidłowej, odrębnej zgody rodzica/opiekuna.

Monitoring niezgodny z art. 108a — w salach lekcyjnych, z dźwiękiem, bez konsultacji lub bez informacji.

Stosowanie biometrii do błahych celów zamiast środków mniej inwazyjnych.

Brak umowy powierzenia z dostawcą e-dziennika lub platformy chmurowej.

Pomijanie transferu danych poza EOG przy usługach chmurowych.

Brak wyznaczonego IOD lub jego fikcyjna rola.

Checklist — RODO w placówce oświatowej

1. Ustal podstawy prawne dla każdej kategorii danych (przepis, zadanie publiczne, zgoda).
2. Przygotuj klauzule informacyjne prostym językiem — odrębne dla uczniów i rodziców.
3. Zawrzyj umowy powierzenia z dostawcą e-dziennika i platform chmurowych.
4. Zweryfikuj transfery danych poza EOG i ich mechanizmy.
5. Zbierz prawidłowe, odrębne zgody na wizerunek — z możliwością wycofania.
6. Wdróż monitoring zgodnie z art. 108a — cel, wyłączenia, konsultacje, informacja, retencja 3 mies.
7. Unikaj biometrii dzieci; stosuj środki mniej inwazyjne.
8. Zabezpiecz dane o zdrowiu uczniów jako dane szczególnych kategorii.
9. Wyznacz inspektora ochrony danych i zapewnij mu realną rolę.
10. Oceń potrzebę DPIA przy przetwarzaniu danych dzieci na dużą skalę.
11. Określ okresy przechowywania dokumentacji i je egzekwuj.
12. Przeszkol nauczycieli i pracowników administracji z zasad RODO.

Potrzebujesz wsparcia z RODO w placówce oświatowej?

Sektor edukacji to obszar podwyższonego ryzyka — dane dzieci, dane o zdrowiu, monitoring, e-dziennik i platformy chmurowe. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont wspieramy szkoły i placówki oświatowe w doborze podstaw prawnych, przygotowaniu klauzul informacyjnych i zgód, umów powierzenia oraz wdrożeniu monitoringu i platform zgodnie z RODO.