Naruszenia ochrony danych osobowych w szkołach – analiza przypadków

Skala ryzyka naruszeń w oświacie wynika z kilku czynników. Po pierwsze, zróżnicowane źródła danych – od dokumentacji kadrowej, przez elektroniczne dzienniki lekcyjne, po monitoring wizyjny – zwiększają liczbę potencjalnych punktów wrażliwych. Po drugie, ograniczone zasoby techniczne i organizacyjne wielu szkół powodują, że bezpieczeństwo informacji bywa traktowane drugoplanowo. Po trzecie, proces cyfryzacji edukacji, obejmujący wdrażanie nowych systemów informatycznych czy rozwiązań biometrycznych, tworzy dodatkowe zagrożenia, których administratorzy nie zawsze są świadomi.

Przedmiotem niniejszego opracowania jest analiza wybranych przypadków naruszeń ochrony danych osobowych w szkołach i placówkach edukacyjnych, które stały się przedmiotem rozstrzygnięć Prezesa Urzędu Ochrony Danych Osobowych oraz sądów administracyjnych. Celem jest nie tylko omówienie stanów faktycznych i argumentacji stron, ale także wskazanie praktycznych konsekwencji tych spraw oraz wniosków dla innych podmiotów oświatowych. Analiza obejmuje zarówno incydenty techniczne (np. wycieki baz danych przy migracji systemów), jak i naruszenia organizacyjne (np. niewłaściwe publikowanie list rekrutacyjnych czy prowadzenie ankiet wśród uczniów).

Ramy prawne ochrony danych w sektorze edukacji

Podstawą regulacji ochrony danych osobowych w szkołach jest ogólne rozporządzenie o ochronie danych (RODO), które znajduje zastosowanie do wszystkich podmiotów przetwarzających dane w sposób zautomatyzowany bądź w zbiorach uporządkowanych. Uzupełniająco należy wskazać ustawę o ochronie danych osobowych z 10 maja 2018 r., a także przepisy szczególne, takie jak Prawo oświatowe, ustawa o systemie informacji oświatowej czy akty wykonawcze dotyczące monitoringu wizyjnego w szkołach.

Z perspektywy praktyki szczególne znaczenie mają zasady ogólne RODO – legalność, rzetelność, przejrzystość, ograniczenie celu, minimalizacja danych, prawidłowość, ograniczenie przechowywania, integralność i poufność oraz rozliczalność. To właśnie naruszenie którejś z tych zasad stanowiło podstawę interwencji organu nadzorczego w analizowanych sprawach.

Administrator danych i jego odpowiedzialność

Administratorem danych w szkole jest co do zasady jej dyrektor, działający jako organ jednostki organizacyjnej. To on odpowiada za zgodność przetwarzania danych z przepisami prawa i to na nim spoczywa ciężar dowodowy w zakresie wykazania legalności działań. Rolę wspierającą pełni Inspektor Ochrony Danych, którego powołanie jest w placówkach publicznych obowiązkowe. W praktyce jednak brak należytej współpracy między dyrektorem a IOD prowadzi często do zaniedbań, które później kończą się postępowaniem przed UODO.

Przykłady naruszeń ochrony danych osobowych w polskich placówkach oświatowych

Biometryczna identyfikacja uczniów w stołówce szkolnej (SP nr 2 w Gdańsku)

Jednym z najważniejszych i najbardziej dyskutowanych orzeczeń w obszarze ochrony danych w oświacie jest sprawa Szkoły Podstawowej nr 2 w Gdańsku. Placówka wprowadziła system identyfikacji uczniów korzystających ze stołówki poprzez odciski palców. Motywacją szkoły była chęć usprawnienia organizacji żywienia: dzieci nie musiały pamiętać kart czy legitymacji, kolejki do stołówki ulegały skróceniu, a obsługa miała pewność, że posiłki wydawane są wyłącznie dzieciom, które je opłaciły.

Na pierwszy rzut oka mogło się wydawać, że jest to rozwiązanie nowoczesne i korzystne. Jednak organ nadzorczy dostrzegł w nim poważne zagrożenie. Dane biometryczne, takie jak odcisk palca, zaliczają się do kategorii szczególnych w rozumieniu art. 9 RODO, a więc ich przetwarzanie jest co do zasady zakazane, z kilkoma wyjątkami. Szkoła powoływała się na zgodę rodziców jako przesłankę legalizującą. PUODO uznał jednak, że sama zgoda nie wystarcza – administrator musi dodatkowo wykazać, iż cel przetwarzania nie mógł być osiągnięty innymi, mniej ingerującymi środkami. W tym przypadku istniała możliwość identyfikacji uczniów w sposób alternatywny, np. poprzez karty elektroniczne czy listy.

Decyzją z 2020 r. Prezes UODO nałożył na szkołę administracyjną karę pieniężną w wysokości 20 tysięcy złotych oraz nakazał zaprzestanie stosowania biometrii. Szkoła wniosła skargę, argumentując, że zgody były dobrowolne, a system alternatywny istniał. Wojewódzki Sąd Administracyjny częściowo podzielił tę argumentację, wskazując, że zgoda rodzica może być podstawą do przetwarzania danych szczególnych kategorii. Sprawa trafiła jednak do Naczelnego Sądu Administracyjnego, który w wyroku z dnia 10 października 2024 r. (III OSK 4804/21) jednoznacznie potwierdził stanowisko organu nadzorczego: zgoda nie zwalnia z obowiązku respektowania zasady minimalizacji.

NSA wskazał, że administrator danych powinien zawsze wybierać środki najmniej ingerujące w prywatność. Biometria jako środek szczególnie inwazyjny może być stosowana wyłącznie wówczas, gdy brak jest realnej alternatywy. W omawianej sprawie taka alternatywa istniała, co czyniło stosowanie biometrii nieproporcjonalnym.

Orzeczenie to ma doniosłe znaczenie dla praktyki – wyznacza bowiem granice dopuszczalności przetwarzania danych biometrycznych w szkołach. Pokazuje, że nowoczesne technologie, nawet gdy usprawniają życie codzienne placówki, nie mogą być stosowane kosztem praw uczniów i że zasada minimalizacji stanowi realny i skuteczny mechanizm kontroli administratorów.

Ujawnienie danych studentów w Szkole Głównej Handlowej

Kolejnym głośnym przykładem naruszenia ochrony danych w instytucji edukacyjnej była sprawa Szkoły Głównej Handlowej w Warszawie. Uczelnia ta, będąca jedną z najbardziej prestiżowych w Polsce, znalazła się w centrum uwagi organu nadzorczego z powodu incydentu związanego z migracją systemu informatycznego.

W trakcie przenoszenia danych do nowego systemu doszło do błędu, który spowodował, że informacje dotyczące aż 1461 studentów i absolwentów zostały czasowo upublicznione w internecie. Nie chodziło wyłącznie o dane identyfikacyjne, takie jak imię i nazwisko, lecz również o dane o przebiegu studiów, co dodatkowo zwiększało wrażliwość ujawnionych informacji. Dla studentów był to poważny problem – w powszechnej świadomości wyciek danych z renomowanej uczelni może rzutować na ich bezpieczeństwo, prywatność, a nawet przyszłe życie zawodowe.

Prezes Urzędu Ochrony Danych Osobowych ocenił sprawę jednoznacznie: administrator nie zapewnił odpowiednich środków technicznych i organizacyjnych, które gwarantowałyby bezpieczeństwo danych w newralgicznym momencie migracji systemu. Wskazano, że proces ten powinien być szczegółowo zaplanowany, przetestowany i nadzorowany, a ujawnienie danych dowodziło poważnych uchybień w zarządzaniu bezpieczeństwem informacji. W rezultacie na SGH nałożono administracyjną karę pieniężną w wysokości 35 tysięcy złotych.

Uczelnia odwołała się od tej decyzji, argumentując, że incydent miał charakter jednorazowy, szybko został zidentyfikowany i usunięty, a dodatkowo nie odnotowano przypadków faktycznego wykorzystania ujawnionych danych. Obrona opierała się więc na tezie, że choć doszło do błędu, nie spowodował on realnej szkody dla studentów.

Wojewódzki Sąd Administracyjny nie podzielił tej argumentacji. W uzasadnieniu sąd podkreślił, że odpowiedzialność administratora danych ma charakter obiektywny i nie zależy od tego, czy naruszenie spowodowało wymierne szkody. Już samo stworzenie sytuacji, w której dane mogły być nieuprawnienie pozyskane, stanowi naruszenie prawa. Co więcej, administrator odpowiada za cały cykl przetwarzania danych, również w fazie wdrożeń i testów systemów informatycznych.

Znaczenie tego wyroku jest fundamentalne. Po pierwsze, pokazuje, że nawet uczelnie o dużym potencjale organizacyjnym i technicznym mogą popełnić błędy, jeśli nie traktują ochrony danych jako priorytetu na każdym etapie działań. Po drugie, sprawa ta unaocznia, że migracja systemów teleinformatycznych to moment szczególnie ryzykowny, wymagający precyzyjnych procedur kontrolnych i stosowania rozwiązań takich jak testowanie na danych fikcyjnych. Po trzecie, wyrok potwierdza zasadę, że administrator ponosi odpowiedzialność nie tylko za skutki naruszenia, ale także za samo wystąpienie nieprawidłowości w zabezpieczeniu danych.

Ankieta z imieniem i nazwiskiem ucznia

W jednej z polskich szkół, w ramach działań diagnostycznych i wychowawczych, przygotowano ankietę skierowaną do uczniów. Formularz zawierał pytania o atmosferę w klasie, relacje z rówieśnikami, ocenę pracy nauczycieli oraz propozycje zmian w szkole. Była to inicjatywa mająca na celu poprawę jakości życia szkolnego i zaangażowanie uczniów w proces współdecydowania. Sama idea była wartościowa i zgodna z duchem współczesnej pedagogiki.

Problem pojawił się w momencie konstruowania kwestionariusza. Ankieta zawierała pola, w których uczniowie mieli wpisać swoje imię i nazwisko. Oznaczało to, że odpowiedzi, które z natury powinny być szczere i anonimowe, mogły być bezpośrednio przypisane do konkretnego ucznia. W praktyce tworzyło to ryzyko, że wypowiedzi krytyczne wobec szkoły czy nauczycieli zostaną powiązane z autorem, co mogło zniechęcać dzieci do szczerości lub wręcz prowadzić do represji.

Rodzice zwrócili uwagę na ten problem i sprawa trafiła do Urzędu Ochrony Danych Osobowych. Prezes UODO ocenił działanie szkoły jako naruszenie zasady minimalizacji danych (art. 5 ust. 1 lit. c RODO). Uznano, że administrator zebrał więcej danych, niż było to konieczne do realizacji celu. Cel ankiety – poznanie opinii uczniów – mógł być w pełni zrealizowany na podstawie odpowiedzi anonimowych, bez potrzeby identyfikacji ucznia.

W toku postępowania szkoła argumentowała, że dane identyfikacyjne miały charakter pomocniczy i że nikt nie zamierzał wyciągać konsekwencji wobec uczniów. Jednak organ nadzorczy podkreślił, że w ochronie danych nie liczą się intencje administratora, lecz faktyczny zakres przetwarzania i potencjalne skutki. Samo stworzenie sytuacji, w której opinie uczniów mogą być powiązane z ich tożsamością, stanowi naruszenie zasady proporcjonalności i mogło wywołać efekt mrożący – zniechęcenie do wyrażania szczerych poglądów.

UODO nie zdecydował się na nałożenie kary finansowej, lecz wydał wobec szkoły upomnienie i zobowiązał do wprowadzenia zmian w procedurach ankietowania. Wyraźnie wskazano, że jeśli szkoła chce prowadzić badania opinii uczniów, powinna stosować metody anonimowe, a dane osobowe mogą być gromadzone jedynie wtedy, gdy jest to niezbędne i należycie uzasadnione.

Znaczenie tej sprawy jest nie do przecenienia, choć dotyczyła ona – w porównaniu z wyciekami danych czy biometrią – stosunkowo prozaicznego działania. Pokazuje bowiem, że naruszenia ochrony danych nie zawsze wynikają z zaawansowanych technologii czy poważnych awarii systemów. Często źródłem problemów są zwykłe czynności organizacyjne, takie jak konstruowanie formularzy czy ankiet.

Dla praktyki szkolnej sprawa ta jest lekcją, że zasada minimalizacji musi być respektowana na każdym etapie przetwarzania danych. Warto, aby dyrektorzy i nauczyciele zadawali sobie pytanie: „Czy do osiągnięcia celu naprawdę potrzebuję tych informacji?”. Jeśli odpowiedź brzmi „nie”, to zbieranie danych jest nie tylko zbędne, ale i niezgodne z prawem.

Publikacja list rekrutacyjnych

Rekrutacja do szkół podstawowych i średnich co roku budzi duże emocje. Rodzice i uczniowie chcą jak najszybciej poznać wyniki naboru, a dyrektorzy szkół muszą zapewnić przejrzystość i jawność całej procedury. W wielu placówkach przez lata przyjęło się, że listy osób zakwalifikowanych i niezakwalifikowanych wiesza się na tablicach ogłoszeń, a w nowszych czasach – publikuje także na stronie internetowej szkoły.

Problem w tym, że listy te często zawierały zbyt wiele danych. Obok imienia i nazwiska ucznia pojawiały się pełne daty urodzenia, a niekiedy nawet numery PESEL. Intencje szkół były dobre: chodziło o to, by rodzice mieli pewność, że chodzi o ich dziecko, zwłaszcza w przypadku powtarzających się nazwisk. Jednak z perspektywy ochrony danych takie działanie stanowiło naruszenie zasady minimalizacji i proporcjonalności.

Prezes UODO wielokrotnie reagował na skargi rodziców i wyjaśniał, że szkoła ma obowiązek zapewnić jawność rekrutacji, ale nie może czynić tego kosztem ochrony prywatności dzieci. W interpretacjach wskazywano, że zamiast pełnych danych osobowych należy stosować np. numery wniosków rekrutacyjnych, indywidualne kody przypisane kandydatom albo inne identyfikatory, które umożliwiają rodzicom i uczniom rozpoznanie swojej sytuacji, ale nie prowadzą do ujawnienia informacji o wszystkich.

W jednej z interwencji UODO ocenił, że publikacja list z numerami PESEL jest rażącym naruszeniem, ponieważ PESEL, jako unikalny identyfikator, w połączeniu z imieniem i nazwiskiem, pozwala na bardzo szeroką identyfikację i może być wykorzystany do oszustw lub kradzieży tożsamości. Dyrektorzy szkół tłumaczyli, że kierowali się praktyką z lat poprzednich i nie byli świadomi, że przepisy wymagają innego podejścia. To tłumaczenie jednak nie uchroniło ich od upomnień i zaleceń zmiany procedur.

Szczególnie krytycznie oceniano publikowanie list w internecie. W przeciwieństwie do tablicy ogłoszeń w szkole, gdzie dostęp mają jedynie osoby fizycznie obecne, strona internetowa szkoły jest otwarta dla wszystkich użytkowników sieci, również tych niepowołanych. To oznacza, że dane dzieci mogą w krótkim czasie stać się powszechnie dostępne i – co gorsza – archiwizowane w wyszukiwarkach. Nawet po usunięciu listy z witryny szkoły kopie mogą pozostać w internecie przez wiele miesięcy.

Dla rodziców takie sytuacje są szczególnie dotkliwe. Informacje o niezakwalifikowaniu się dziecka do szkoły stają się faktem publicznym, a samo nazwisko dziecka znajduje się w kontekście, który może wywoływać niepotrzebny stres. W ten sposób naruszana jest nie tylko zasada ochrony danych, ale też godność i prawo do prywatności ucznia.

Znaczenie praktyczne tej sprawy jest ogromne, bo dotyczy tysięcy szkół w całej Polsce. Każda placówka przeprowadzająca rekrutację musi wyważyć dwie wartości: jawność procedury i ochronę danych osobowych. Orzecznictwo i praktyka UODO jasno wskazują, że jawność można zapewnić poprzez bezpieczne identyfikatory, a publikowanie list z pełnymi danymi osobowymi jest niezgodne z prawem.

Ujawnienie danych nauczycielki na tablicy ogłoszeń

W jednej ze szkół podstawowych w Polsce doszło do sytuacji, która na pierwszy rzut oka mogła wydawać się błaha, a w rzeczywistości miała poważne konsekwencje prawne. Nauczycielka, zatrudniona w tej placówce, w maju 2018 roku – wspólnie z kilkoma innymi osobami – skierowała pismo do instytucji państwowych, w tym do Prokuratury Krajowej, Ministerstwa Edukacji Narodowej, Ministerstwa Sprawiedliwości i urzędu wojewódzkiego. W piśmie tym podnosiła wątpliwości dotyczące prawidłowości wydatkowania dotacji przeznaczonych na dożywianie uczniów. W treści korespondencji znajdowały się jej dane osobowe – imię, nazwisko i adres zamieszkania. Nie stanowiło to problemu w momencie kierowania pisma do organów władzy publicznej, bo w takim kontekście podanie danych było uzasadnione i wynikało z formalnych wymogów.

Problem pojawił się, gdy dyrektor szkoły – w niewłaściwie rozumianym celu poinformowania grona pedagogicznego – wywiesił treść tego pisma w pokoju nauczycielskim na tablicy ogłoszeń. Oznaczało to, że dane osobowe nauczycielki, które zostały wykorzystane w zupełnie innym celu, stały się dostępne dla wszystkich nauczycieli i innych osób, które mogły mieć dostęp do pokoju nauczycielskiego.

Nauczycielka, czując że jej prawa zostały naruszone, skierowała skargę do Prezesa Urzędu Ochrony Danych Osobowych. UODO przeprowadził postępowanie i stwierdził, że szkoła dopuściła się naruszenia art. 6 ust. 1 RODO, który określa przesłanki legalności przetwarzania danych osobowych. UODO podkreślił, że administrator danych odpowiada za każdy sposób przetwarzania danych, także w zakresie ich udostępniania. Wywieszenie pisma na tablicy ogłoszeń w pokoju nauczycielskim nie miało żadnego uzasadnienia prawnego i naraziło dane osobowe nauczycielki na dostęp osób nieuprawnionych.

W decyzji z dnia 3 kwietnia 2019 r., sygn. ZSZZS.440.790.2018, Prezes UODO zastosował wobec szkoły upomnienie. Uznał, że naruszenie było poważne, ale nie było kontynuowane – pismo zostało zdjęte z tablicy. Dlatego odstąpiono od wymierzenia administracyjnej kary pieniężnej.

Sprawa ta doskonale pokazuje, że naruszenia ochrony danych w szkołach nie zawsze dotyczą wycieków baz danych czy błędów w systemach informatycznych. Często są one efektem działań czysto organizacyjnych i braku świadomości konsekwencji prawnych. Dyrektor, chcąc poinformować grono pedagogiczne o istotnej kwestii, wybrał środek, który doprowadził do nieuprawnionego ujawnienia danych osobowych. UODO przypomniał, że zasady RODO obowiązują także w codziennych sytuacjach – takich jak sposób prowadzenia tablicy ogłoszeń w szkole.

Dla praktyki oświatowej płynie z tego jasny wniosek: każde udostępnienie danych osobowych musi mieć wyraźną podstawę prawną. Brak świadomości lub powoływanie się na tradycję czy zwyczaj organizacyjny nie zwalnia administratora z odpowiedzialności.

Podsumowanie

Analiza przedstawionych spraw pokazuje, że naruszenia ochrony danych osobowych w szkołach mają zróżnicowany charakter. Dotyczą zarówno nowoczesnych technologii, jak biometryczna identyfikacja uczniów czy cyfrowe systemy obsługi studentów, jak i tradycyjnych praktyk, takich jak publikacja list rekrutacyjnych czy konstruowanie formularzy. Wspólnym mianownikiem wszystkich incydentów jest niedostateczna świadomość administratorów co do obowiązków wynikających z RODO oraz brak konsekwentnego stosowania zasady minimalizacji i proporcjonalności.

Warto podkreślić, że odpowiedzialność administratora danych w sektorze edukacji ma charakter obiektywny – nie zależy od intencji ani od tego, czy faktycznie doszło do wykorzystania ujawnionych danych. Już samo stworzenie sytuacji, w której dane mogą być bezprawnie pozyskane lub nadmiernie przetwarzane, jest naruszeniem prawa.

Dla szkół i uczelni kluczowe jest wdrożenie praktyk zapobiegawczych, w tym:

• przeprowadzanie analiz ryzyka przed wprowadzeniem nowych rozwiązań technicznych,
• stosowanie danych fikcyjnych lub zanonimizowanych w testach systemów,
• opracowanie procedur anonimizacji dokumentów udostępnianych w trybie informacji publicznej,
• przestrzeganie zasady minimalizacji w ankietach, formularzach i rekrutacjach,
• bieżąca współpraca dyrektora z Inspektorem Ochrony Danych.

Naruszenia opisane w artykule powinny być traktowane jako ostrzeżenie i wskazówka. Każda szkoła, niezależnie od wielkości czy szczebla, powinna przyjąć założenie, że ochrona danych uczniów, rodziców i pracowników jest nieodłącznym elementem jej misji. W przeciwnym razie ryzyko sankcji prawnych i utraty zaufania społecznego staje się realne.

Źródła i orzecznictwo

• Wyrok NSA z dnia 10 października 2024 r., sygn. III OSK 4804/21 – w sprawie biometrycznej identyfikacji uczniów w stołówce szkolnej (SP nr 2 w Gdańsku).
• Decyzja PUODO, z dnia 18 lutego 2020 r., sygn. Akt: SZZS.440.768.2018 – kara 20 tys. zł za pobieranie odcisków palców.
• Decyzja Prezesa UODO z dnia 30 listopada 2023 r., sygn. DKN.5131.26.2023. – kara 35 tys. zł za ujawnienie danych 1461 studentów podczas migracji systemu.
• bankier.pl, „UODO: przy rekrutacji szkoły nie mogą żądać PESEL-u i nr dowodu osobistego rodziców kandydata”, https://www.bankier.pl/wiadomosc/UODO-przy-rekrutacji-szkoly-nie-moga-zadac-PESEL-u-i-nr-dowodu-osobistego-rodzicow-kandydata-7866706.html
• Decyzja Prezesa Urzędu Ochrony Danych Osobowych z dnia 3 kwietnia 2019 r., sygn. ZSZZS.440.790.2018.- w sprawie ujawnienia danych nauczyciela na tablicy ogłoszeń