Naruszenia ochrony danych osobowych w jednostkach systemu oświaty – przykłady i wnioski praktyczne na podstawie wytycznych UODO – oświatowo.pl

Dyrektor jednostki systemu oświaty pełni rolę administratora danych osobowych w rozumieniu art. 4 pkt 7 RODO. Oznacza to, że to właśnie on decyduje o celach i sposobach przetwarzania danych uczniów, rodziców, pracowników oraz współpracowników placówki. Jednocześnie to na dyrektorze spoczywa największa odpowiedzialność prawna i organizacyjna za zapewnienie bezpieczeństwa tych danych. W realiach szkoły dane osobowe są przetwarzane niemal w każdym obszarze działalności – od dokumentacji przebiegu nauczania, przez kadry i płace, po komunikację elektroniczną z rodzicami. Tam, gdzie pojawiają się dane osobowe, zawsze istnieje ryzyko naruszenia ich ochrony .

Czym jest przetwarzanie danych osobowych? Zgodnie z RODO przetwarzaniem danych osobowych jest każde działanie wykonywane na danych osoby możliwej do zidentyfikowania – niezależnie od tego, czy jest to działanie zautomatyzowane, czy manualne.

W jednostkach oświaty przetwarzaniem danych będzie m.in.:

prowadzenie dzienników elektronicznych i papierowych, przechowywanie arkuszy ocen, dokumentacji uczniów i pracowników, korzystanie z systemów kadrowo-płacowych, przesyłanie informacji o uczniach i rodzicach za pomocą e-maila lub komunikatorów, archiwizacja dokumentacji szkolnej. Jednocześnie warto pamiętać, że RODO nie ma zastosowania do czynności o czysto osobistym lub domowym charakterze , np. prywatnych kontaktów nauczyciela w jego własnym telefonie.

Czym jest naruszenie ochrony danych osobowych? Zgodnie z art. 4 pkt 12 RODO, naruszenie ochrony danych osobowych to każde zdarzenie prowadzące do:

zniszczenia danych, utraty danych, nieuprawnionej modyfikacji danych, nieuprawnionego ujawnienia danych, nieuprawnionego dostępu do danych. Co istotne z perspektywy dyrektora szkoły:

nie ma znaczenia, czy naruszenie nastąpiło przypadkowo czy umyślnie , nie każda sytuacja problemowa jest naruszeniem , ale każde naruszenie musi być analizowane pod kątem ryzyka dla praw i wolności osób, których dane dotyczą. Trzy podstawowe rodzaje naruszeń danych osobowych Naruszenie poufności danych

Poufność oznacza, że dane osobowe są dostępne wyłącznie dla osób uprawnionych .

W realiach szkoły naruszeniem poufności może być m.in.:

omyłkowe wysłanie e-maila z danymi ucznia lub pracownika do niewłaściwego odbiorcy, pozostawienie dokumentacji uczniowskiej w miejscu ogólnodostępnym (np. sekretariat bez nadzoru), niewylogowanie się z dziennika elektronicznego na komputerze w sali lekcyjnej, brak odebrania dostępu do systemów informatycznych byłemu nauczycielowi lub pracownikowi administracyjnemu, sprzedaż lub przekazanie starego sprzętu komputerowego bez trwałego usunięcia danych. Warto podkreślić, że naruszenie poufności może mieć miejsce także wewnątrz szkoły , jeżeli pracownik uzyskuje dostęp do danych, do których nie jest uprawniony.

Naruszenie integralności danych

Integralność danych oznacza ich prawidłowość, kompletność i aktualność .

W jednostkach oświaty do naruszenia integralności może dojść np. gdy:

do dokumentacji ucznia zostaną wpisane błędne dane, nie zostaną zaktualizowane informacje o zmianie danych osobowych rodzica, awaria systemu informatycznego spowoduje zniekształcenie danych, osoba nieuprawniona zmodyfikuje informacje w systemie (np. oceny, dane adresowe). Naruszenie integralności może nastąpić zarówno na skutek działań osób nieuprawnionych, jak i błędów pracowników posiadających dostęp , ale działających niedokładnie lub bez odpowiedniej wiedzy.

Naruszenie dostępności danych Dostępność oznacza, że dane mogą być wykorzystywane wtedy, gdy są potrzebne do realizacji zadań placówki .

W szkołach naruszeniem dostępności będzie m.in.:

zagubienie jedynego egzemplarza dokumentacji papierowej, brak dostępu do dziennika elektronicznego wskutek awarii systemu, utrata danych w wyniku braku kopii zapasowych, zablokowanie kont użytkowników bez zapewnienia ciągłości pracy. Szczególnie istotne jest to, że czasowa niedostępność danych (np. w wyniku awarii) również może stanowić naruszenie, jeżeli wpływa na prawa i wolności osób fizycznych, których dane dotyczą.

Skąd biorą się naruszenia danych w oświacie? Analiza poradnika UODO pokazuje, że źródła naruszeń są zróżnicowane, jednak w praktyce szkolnej dominują:

Błędy ludzkie – pomyłki, brak uwagi, pośpiech, niewystarczające szkolenia. Niewystarczające procedury – brak jasnych zasad nadawania i odbierania uprawnień, brak procedur reagowania na incydenty. Cyberzagrożenia – phishing, złośliwe oprogramowanie, słabe hasła. Zamierzone nadużycia wewnętrzne – nieuprawnione „ciekawskie” przeglądanie danych. Czynniki losowe – pożary, zalania, awarie infrastruktury. Co szczególnie ważne dla dyrektorów: naruszenie nie musi wynikać z winy administratora , ale odpowiedzialność za właściwą reakcję i ocenę ryzyka zawsze spoczywa na placówce.

Obowiązek analizy, rejestracji i ewentualnego zgłoszenia naruszenia Każde stwierdzone lub podejrzewane naruszenie ochrony danych osobowych w szkole, przedszkolu musi zostać poddane indywidualnej analizie przez administratora danych, czyli dyrektora placówki. Analiza ta nie może mieć charakteru wyłącznie formalnego, lecz powinna koncentrować się na ocenie, czy i w jakim stopniu naruszenie może wywrzeć istotny wpływ na prawa lub wolności osób fizycznych , których dane dotyczą.

W szczególności należy wziąć pod uwagę m.in.:

rodzaj i zakres naruszonych danych osobowych (np. dane zwykłe czy szczególnej kategorii), liczbę osób, których dane dotyczą, łatwość identyfikacji osób na podstawie ujawnionych danych, możliwe konsekwencje dla osób fizycznych (np. ryzyko kradzieży tożsamości, naruszenia prywatności, dyskryminacji lub szkody reputacyjnej), możliwość odzyskania danych lub ograniczenia skutków incydentu. Niezależnie od wyniku tej analizy każde naruszenie ochrony danych osobowych musi zostać odnotowane w rejestrze naruszeń , który administrator jest zobowiązany prowadzić zgodnie z art. 33 ust. 5 RODO. Rejestr ten powinien dokumentować okoliczności naruszenia, jego skutki oraz podjęte działania naprawcze i zapobiegawcze.

Jeżeli analiza wykaże, że naruszenie może powodować ryzyko naruszenia praw lub wolności osób fizycznych , administrator danych ma obowiązek zgłosić je do Prezesa Urzędu Ochrony Danych Osobowych (PUODO) bez zbędnej zwłoki, nie później niż w terminie 72 godzin od stwierdzenia naruszenia, a także niezwłoczne zawiadomić osobę fizyczną o naruszeniu (wyłącznie w sytuacjach, w których ryzyko naruszenia praw lub wolności jest wysokie). Udzielenie informacji (zgodnie z zasadą przejrzystości) ma w szczególności uświadomić takiej osobie, że doszło do określonego naruszenia, w tym umożliwić podjęcie działań zapobiegawczych.

W praktyce oznacza to, że:

nie każde naruszenie podlega zgłoszeniu do PUODO , każde naruszenie podlega analizie i wpisowi do rejestru , brak reakcji lub zaniechanie oceny naruszenia stanowi samoistne naruszenie przepisów RODO . Wnioski praktyczne dla dyrektorów szkół i placówek Na podstawie wytycznych UODO można sformułować kilka kluczowych rekomendacji:

regularnie szkolić nauczycieli i pracowników administracyjnych z ochrony danych, jasno określić zakresy uprawnień do systemów i dokumentacji, wdrożyć procedury nadawania i odbierania dostępów, stosować zasadę „czystego biurka” i „czystego ekranu”, dbać o kopie zapasowe i bezpieczeństwo systemów informatycznych (pamiętać o aktualizacji), traktować każdy incydent z danymi osobowymi poważnie i analizować go pod kątem występowania ryzyka naruszenia praw lub wolności osób, których dane dotyczą . Źródło: poradnik dotyczący naruszeń ochrony danych osobowych (plik PDF, 7.04 MB) (dostęp z dnia 30 stycznia 2026 r.). Podstawa prawna: rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych). Stan prawny na dzień: 30-01-2026

Naruszenia ochrony danych osobowych w jednostkach systemu oświaty – przykłady i wnioski praktyczne na podstawie wytycznych UODO

Wpływ wliczania nowych okresów do stażu pracy na uprawnienia pracownicze

Łączenie grup w przedszkolu z powodu niskiej frekwencji

Podobne artykuły

Jak przeprowadzić audyt RODO w szkole – krok po kroku?

Sfałszowany podpis rodzica na wniosku – jak powinna postąpić szkoła (RODO)?

Schemat decyzyjny udostępniania danych osobowych

Udostępnianie danych osobowych przez szkołę – kiedy jest dopuszczalne i na jakich zasadach?

Jak Prezes UODO nakłada administracyjne kary pieniężne?

Łączenie grup w przedszkolu z powodu niskiej frekwencji

Wspólne kategorie

Wspólne kategorie

Info

Najnowszy artykuły

Nasz Partner

Witamy!

Stwórz nowe konto!

Odzyskaj hasło

Czy na pewno chcesz odblokować ten post?

Czy na pewno chcesz anulować subskrypcję?

Naruszenia ochrony danych osobowych w jednostkach systemu oświaty – przykłady i wnioski praktyczne na podstawie wytycznych UODO

Subskrybuj

Subskrybuj

Kup pojedynczy artykuł

Wpływ wliczania nowych okresów do stażu pracy na uprawnienia pracownicze

Łączenie grup w przedszkolu z powodu niskiej frekwencji

Podobne artykuły

Jak przeprowadzić audyt RODO w szkole – krok po kroku?

Sfałszowany podpis rodzica na wniosku – jak powinna postąpić szkoła (RODO)?

Schemat decyzyjny udostępniania danych osobowych

Udostępnianie danych osobowych przez szkołę – kiedy jest dopuszczalne i na jakich zasadach?

Jak Prezes UODO nakłada administracyjne kary pieniężne?

Łączenie grup w przedszkolu z powodu niskiej frekwencji

Wspólne kategorie

Szukaj wg fraz

Wspólne kategorie

Info

Najnowszy artykuły

Nasz Partner

Witamy!

Stwórz nowe konto!

Odzyskaj hasło

Czy na pewno chcesz odblokować ten post?

Czy na pewno chcesz anulować subskrypcję?