Jak chronić dane osobowe uczniów?

Od czego zacząć? Analiza ryzyka to fundament bezpieczeństwa

Ochrona danych osobowych nie zaczyna się od instalacji programu antywirusowego ani zamykania szafek z dokumentacją. Prawdziwe bezpieczeństwo zaczyna się od zrozumienia, gdzie są dane, kto je przetwarza oraz jakie istnieją zagrożenia.

To właśnie analiza ryzyka jest pierwszym krokiem, który szkoła powinna wykonać.

Co obejmuje analiza ryzyka?

Analiza ryzyka to proces, który pozwala:

• Zidentyfikować wszystkie zasoby danych osobowych. Przykładowo: dzienniki elektroniczne, dokumentacja papierowa w sekretariacie, maile służbowe nauczycieli, serwery czy kopie zapasowe.
• Określić, jakie dane są przetwarzane i w jakim celu. Dane uczniów to często dane wrażliwe: informacje o zdrowiu, opinie poradni, wyniki w nauce, dane rodziców. Każdy typ danych niesie inne ryzyka.
• Zidentyfikować zagrożenia związane z tym przetwarzaniem. Przykładowo: zgubienie dziennika papierowego, przypadkowe wysłanie danych do niewłaściwego adresata, atak hakerski na e-dziennik, zainfekowanie komputera wirusem.
• Ocenić prawdopodobieństwo wystąpienia każdego z tych zagrożeń. To bardzo ważny krok: samo zagrożenie nie wystarczy, by mówić o ryzyku – musimy też wiedzieć, na ile jest ono realne.
  Przykładowo:
  • przypadkowe ujawnienie danych przez nauczyciela – prawdopodobieństwo średnie,
  • fizyczna kradzież z zamkniętej szafy – prawdopodobieństwo niskie,
  • atak phishingowy na konto e-mail – prawdopodobieństwo wysokie, jeśli nie ma szkoleń i zabezpieczeń.
• Oszacować poziom ryzyka jako kombinację skutków i prawdopodobieństwa. Ryzyko to wypadkowa dwóch rzeczy:
  • skutków naruszenia,
  • prawdopodobieństwa, że takie naruszenie się wydarzy.Dzielimy je zazwyczaj na:
• • ryzyko niskie – nie wymaga pilnych działań,
  • ryzyko średnie – warto je ograniczyć,
  • ryzyko wysokie – wymaga niezwłocznych środków zaradczych.
• Wdrożyć adekwatne środki techniczne i organizacyjne. Dopiero po tej analizie można dobrać środki ochrony, które naprawdę odpowiadają na realne zagrożenia.

Jaką metodę zastosować?

Choć obowiązek przeprowadzania analizy ryzyka przy przetwarzaniu danych osobowych wynika wprost z RODO, to samo rozporządzenie nie wskazuje szczegółowo, jak taka analiza ma wyglądać. Przepisy pozostawiają administratorowi – czyli również szkole, przedszkolu czy innej placówce oświatowej – dużą elastyczność w wyborze metodyki, pod warunkiem, że będzie ona odpowiednia do specyfiki danej instytucji. Taki wniosek wynika bezpośrednio z art. 24 i art. 32 RODO, które nakładają na administratora obowiązek wdrażania środków bezpieczeństwa odpowiadających poziomowi ryzyka, przy jednoczesnym uwzględnieniu m.in. aktualnej wiedzy technicznej, kosztów wdrożenia oraz celu i kontekstu przetwarzania.

Zgodnie z informacjami opublikowanymi przez Urząd Ochrony Danych Osobowych (UODO) na oficjalnej stronie internetowej, nie istnieje jeden obowiązujący model analizy ryzyka, który należałoby stosować w każdej organizacji. UODO podkreśla jednak, że warto korzystać z uznanych i sprawdzonych metodyk, wypracowanych w dziedzinie zarządzania bezpieczeństwem informacji. Jedną z takich rekomendowanych metod jest podejście oparte na normie ISO/IEC 27005. Norma ta oferuje logiczne i uporządkowane podejście do oceny ryzyka, w tym identyfikacji zasobów informacyjnych, potencjalnych zagrożeń, podatności systemu oraz skutków, jakie może nieść za sobą naruszenie ochrony danych. Umożliwia również przypisanie poziomu ryzyka do konkretnych obszarów przetwarzania i dobranie odpowiednich środków zapobiegawczych. Co ważne, metodyka ta jest na tyle elastyczna, że może być skutecznie stosowana również w mniejszych placówkach oświatowych, niezależnie od ich wielkości czy zaplecza technologicznego.

W praktyce oznacza to, że każda szkoła czy przedszkole powinny przeprowadzić analizę ryzyka, ale mogą to zrobić w sposób uproszczony, dostosowany do skali i specyfiki swojej działalności. Istotne jest jednak, aby nie był to proces „na oko” czy nieformalny – administrator danych ma obowiązek go udokumentować, zgodnie z tzw. zasadą rozliczalności, opisaną w art. 5 ust. 2 RODO. Oznacza to, że placówka powinna być w stanie wykazać, że analiza została przeprowadzona, że zastosowane środki ochrony zostały dobrane świadomie i adekwatnie do poziomu ryzyka, a cały proces jest przemyślany, kontrolowany i aktualizowany, jeśli zachodzą zmiany w sposobie przetwarzania danych.

Poniżej przedstawiono przykładową matryce szacowania ryzyka związanych z przetwarzaniem danych osobowych:

Legenda – Skala oceny ryzyka

• Prawdopodobieństwo:
  • 1 – Niskie – zdarzenie bardzo rzadkie
  • 2 – Średnie – zdarzenie możliwe, realne
  • 3 – Wysokie – zdarzenie bardzo prawdopodobne lub powtarzalne
• Skutek:
  • 1 – Niski – znikoma szkodliwość
  • 2 – Średni – możliwe konsekwencje lub stres
  • 3 – Wysoki – poważna szkoda, odpowiedzialność prawna
• Poziom ryzyka (P × S):
  • 1–2 – Niskie – sytuacja pod kontrolą
  • 3–4 – Średnie – należy wdrożyć działania zapobiegawcze
  • 6–9 – Wysokie – ryzyko nieakceptowalne, konieczne działania naprawcze

Jakie zabezpieczenia danych osobowych powinna stosować placówka oświatowa?

Nie istnieje jeden uniwersalny sposób na ochronę danych osobowych. Każda placówka oświatowa – niezależnie od tego, czy mówimy o publicznej szkole podstawowej, czy o małym przedszkolu – musi dostosować środki bezpieczeństwa do własnych warunków i zagrożeń. Ochrona danych nie ogranicza się przy tym tylko do systemów komputerowych – to także odpowiedzialne zarządzanie informacjami przez ludzi, odpowiednie procedury i codzienna praktyka organizacyjna.

Zacznijmy od kwestii organizacyjnych, czyli tego, jak szkoła zarządza dostępem do informacji. Dokumentacja uczniów – zarówno w wersji papierowej, jak i elektronicznej – powinna być dostępna wyłącznie dla tych pracowników, którzy rzeczywiście jej potrzebują. Wychowawca klasy czy pedagog specjalny będą mieć dostęp do innych informacji niż, na przykład, nauczyciel matematyki. Aby zachować porządek i kontrolę, każda osoba powinna być imiennie upoważniona do przetwarzania danych, a lista osób upoważnionych powinna być prowadzona i regularnie aktualizowana.

Równie ważne jest, by personel wiedział, jak obchodzić się z danymi. Szkoły i przedszkola powinny regularnie organizować szkolenia z zakresu ochrony danych osobowych aby uświadomić pracownikom, jakie zagrożenia mogą wynikać z ich codziennych działań. Prosty błąd, taki jak wysłanie wiadomości e-mail do niewłaściwego rodzica lub zostawienie dziennika na biurku w otwartym pokoju, może mieć poważne konsekwencje. Dlatego równie ważne co szkolenia są procedury – gotowe scenariusze, które mówią, co zrobić w razie incydentu, np. zgubienia dokumentu z danymi lub nieuprawnionego dostępu do konta.

Ale ochrona danych to nie tylko ludzie i procedury – to także technologia. Komputery, na których przechowuje się dane uczniów i rodziców, muszą być odpowiednio zabezpieczone. Absolutnym minimum są silne, indywidualne hasła dostępu – najlepiej złożone z liter, cyfr i znaków specjalnych – oraz automatyczne blokady ekranu po kilku minutach bezczynności. Ważne jest też to, aby każda osoba miała własny login – dzięki temu można później ustalić, kto miał dostęp do jakich danych.

Nie można zapominać o podstawowych zabezpieczeniach technicznych, takich jak aktualizacje systemów operacyjnych, programów biurowych czy dzienników elektronicznych. Stare oprogramowanie to częsty powód włamań i wycieków danych. Równie istotne jest stosowanie programów antywirusowych, zapór sieciowych (firewall) oraz regularne wykonywanie kopii zapasowych, które mogą okazać się nieocenione w przypadku awarii sprzętu lub ataku ransomware.

Jeśli w przedszkolu przechowywane są dane szczególnie wrażliwe – np. dotyczące zdrowia dzieci, niepełnosprawności lub orzeczeń poradni – warto rozważyć ich szyfrowanie. Szyfrowane pliki lub całe dyski twarde chronią dane nawet wtedy, gdy urządzenie trafi w niepowołane ręce. W przypadku dokumentacji papierowej, zasada jest równie prosta: wszelkie dane powinny być przechowywane w zamkniętych szafach, a dostęp do nich powinien mieć wyłącznie personel uprawniony.

Wszystkie te środki – od polityki czystego biurka, przez szkolenia, aż po techniczne zabezpieczenia komputerów – składają się na realną ochronę danych osobowych. To nie jednorazowe działanie, ale ciągły proces budowania świadomości, kontrolowania zagrożeń i reagowania na zmiany. Właśnie dlatego analiza ryzyka i regularna ocena zastosowanych rozwiązań powinny być stałym elementem zarządzania bezpieczeństwem informacji w każdej placówce edukacyjnej.

Co grozi szkole za brak odpowiedniej ochrony danych osobowych uczniów?

Brak odpowiedniej ochrony danych osobowych uczniów oraz ich rodziców może prowadzić do poważnych konsekwencji prawnych, finansowych i wizerunkowych dla szkoły lub przedszkola. Przede wszystkim należy liczyć się z możliwością nałożenia kar administracyjnych przez Urząd Ochrony Danych Osobowych (UODO). Organ nadzorczy ma prawo wymierzyć sankcję finansową, jeśli stwierdzi, że doszło do naruszenia przepisów RODO – np. poprzez brak odpowiednich zabezpieczeń technicznych lub organizacyjnych, przetwarzanie danych bez podstawy prawnej, czy niezgłoszenie incydentu naruszenia ochrony danych. Nawet jeśli kara nie jest maksymalna, dla małej placówki może stanowić poważne obciążenie finansowe.

Decyzja Prezesa Urzędu Ochrony Danych Osobowych nr DKN.5112.10.2024 z dnia 6 marca 2025 r. doskonale ilustruje, jakie mogą być konsekwencje braku przeprowadzenia analizy ryzyka oraz nieprzestrzegania podstawowych obowiązków wynikających z RODO. W tej sprawie UODO nałożył na administratora danych – podmiot publiczny – administracyjną karę pieniężną w wysokości 56 824 zł. Kara ta była rezultatem wielu zaniedbań, które łączyło jedno: brak systemowego podejścia do bezpieczeństwa danych osobowych.

Podstawowym zarzutem było to, że administrator nie przeprowadził analizy ryzyka związanego z przetwarzaniem danych osobowych. Brak takiej analizy uniemożliwia dobranie odpowiednich środków technicznych i organizacyjnych, co z kolei może prowadzić do poważnych naruszeń bezpieczeństwa. W praktyce oznacza to, że administrator nie wiedział, jakie zagrożenia mogą wystąpić w procesie przetwarzania danych i nie miał podstaw, by twierdzić, że dane są odpowiednio chronione.

Decyzja ta pokazuje, że samo przekonanie administratora o „niskim ryzyku” nie wystarczy. Konieczne jest faktyczne przeprowadzenie analizy i jej udokumentowanie. UODO podkreślił, że bez rzetelnej oceny zagrożeń nie można mówić o świadomym i odpowiedzialnym zarządzaniu bezpieczeństwem danych osobowych.

Wnioski z tej sprawy są szczególnie istotne dla szkół, przedszkoli i innych instytucji publicznych – również one są zobowiązane do stosowania zasad RODO na równi z innymi administratorami. Brak procedur, brak dokumentacji i brak świadomości ryzyk mogą prowadzić nie tylko do sankcji finansowych.

Drugą konsekwencją może być odpowiedzialność cywilna. Rodzice dzieci, których dane zostały niewłaściwie ujawnione lub przetwarzane, mają prawo dochodzić swoich roszczeń na drodze sądowej – domagając się odszkodowania lub zadośćuczynienia za naruszenie prywatności, stres czy inne negatywne skutki. Takie sprawy są coraz częstsze, a wyroki potrafią być bardzo kosztowne – nie tylko finansowo, ale i wizerunkowo.

Do tego dochodzi utrata zaufania ze strony rodziców i opiekunów prawnych, którzy oczekują od placówki nie tylko opieki i edukacji, ale również odpowiedzialnego podejścia do danych ich dzieci.

Wreszcie, problemy wizerunkowe. Informacja o wycieku danych osobowych szybko się rozchodzi, zwłaszcza w społeczności lokalnej. Może to osłabić reputację placówki, wpłynąć na relacje z rodzicami i instytucjami zewnętrznymi, a także przyczynić się do utraty wiarygodności w oczach nauczycieli, organu prowadzącego i nadzoru pedagogicznego.

Dlatego tak ważne jest, aby szkoła lub przedszkole traktowało ochronę danych osobowych jako element codziennego zarządzania i odpowiedzialności, a nie jako formalność. Ochrona danych osobowych uczniów to nie tylko obowiązek wynikający z przepisów – to też element budowania zaufania i bezpieczeństwa w środowisku szkolnym. A wszystko zaczyna się od świadomej analizy ryzyka. Dopiero wtedy szkoła może mówić, że naprawdę chroni dane osobowe swoich uczniów.

Pomoc prawna w zakresie ochrony danych osobowych uczniów

Jeśli potrzebują Państwo pomocy prawnej we wdrożeniu ochrony danych osobowych w placówce edukacyjnej – od analizy ryzyka po tworzenie procedur – zapraszamy do kontaktu z nami. Wspieramy szkoły w bezpiecznym przetwarzaniu danych. Jesteśmy do Państwa dyspozycji:

• pod numerem telefonu: +48 533 940 018
• pod adresem e-mail: [email protected]
• w siedzibie kancelarii: al. Słowackiego 15A/8 31-159 Kraków (po wcześniejszym umówieniu terminu spotkania)

Opracowano na podstawie

1. Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych), Dz. Urz. UE L 119 z 04.05.2016, s. 1–88.
2. Urząd Ochrony Danych Osobowych, Jak rozumieć i stosować podejście oparte na ryzyku?, https://uodo.gov.pl/pl/126/208