Ochrona Danych

RODO w edukacji: szkoły i uczelnie 2026

RODO w szkołach i uczelniach: dziennik elektroniczny, dane uczniów, monitoring, kary UODO. Przewodnik dla placówek oświatowych 2026.

W jednym zdaniu. Sektor edukacji generuje rocznie kilkaset zgłoszeń naruszeń do UODO, głównie z powodu publikacji danych uczniów, nieprawidłowej konfiguracji dziennika elektronicznego oraz nieuprawnionego dostępu nauczycieli do danych pozostających poza ich zakresem zadań.

Najważniejsze punkty

  • Podstawa: RODO + ustawa Prawo oświatowe + ustawa o systemie informacji oświatowej (SIO).
  • Każda szkoła i uczelnia ma obowiązkowo IOD (organ publiczny — art. 37 ust. 1 lit. a).
  • Dziennik elektroniczny: kontrola dostępu, logi, retencja zgodna z arkuszem ocen (50 lat).
  • Publikacja danych uczniów (wyniki, zdjęcia) — wymaga zgody rodzica/pełnoletniego ucznia.
  • Monitoring wizyjny: tylko po konsultacji z radą rodziców i radą pedagogiczną.
  • SIO przekazuje dane do MEiN — podstawa: obowiązek prawny.

1. Podstawy prawne w oświacie

System prawny: RODO + ustawa Prawo oświatowe (z 14 grudnia 2016 r.) + ustawa o systemie informacji oświatowej (z 15 kwietnia 2011 r.) + Karta Nauczyciela + rozporządzenia MEiN dotyczące dokumentacji szkolnej. Uczelnie wyższe: dodatkowo ustawa Prawo o szkolnictwie wyższym i nauce (z 20 lipca 2018 r.) i ustawa o systemie POL-on.

2. Administratorzy w szkolnictwie

Administratorem danych jest szkoła (jednostka organizacyjna) reprezentowana przez dyrektora lub uczelnia reprezentowana przez rektora. Organ prowadzący (gmina, powiat, MEiN) nie jest administratorem danych szkolnych w bieżącej działalności, ale staje się nim w zakresie kadr nauczycielskich i finansowania. Szersze zasady przetwarzania danych w sektorze publicznym opisuję w tekście o RODO w administracji publicznej.

3. Dziennik elektroniczny

Dzienniki: Librus, Vulcan, Mobidziennik, eDziennik. Wymogi RODO:

  • Kontrola dostępu rolowa (nauczyciel widzi tylko swoich uczniów).
  • MFA dla kont administracyjnych.
  • Logi dostępu z retencją min. 12 miesięcy.
  • Umowa powierzenia z dostawcą (art. 28).
  • TOMs zgodne z art. 32.
  • Procedura naruszeń 72h.
  • Retencja zgodna z arkuszem ocen (50 lat dla danych ocen).

4. Klasyfikacja danych w szkole

Kategoria Przykład Podstawa
Identyfikacyjne PESEL, imię, adres obowiązek prawny
Edukacyjne oceny, frekwencja obowiązek prawny
Zdrowotne orzeczenia o niepełnosprawności art. 9 ust. 2 lit. g
Wizerunek zdjęcia z imprez zgoda
Wrażliwe rodzinne sytuacja rodzinna obowiązek prawny

5. Publikacja danych uczniów

Publikacja wyników, list klas, zdjęć ze szkolnych wydarzeń wymaga zgody rodzica (uczeń niepełnoletni) lub pełnoletniego ucznia. Wyjątek: dane konieczne do procesu dydaktycznego (np. lista przy zwracaniu prac w klasie). UODO sankcjonował szkoły za publikację wyników egzaminów z PESEL na tablicy ogłoszeń.

6. Monitoring wizyjny w szkole

Art. 108a ustawy Prawo oświatowe pozwala na monitoring wyłącznie:

  • po konsultacji z radą rodziców i radą pedagogiczną,
  • ze stroną informującą widoczną przy wejściach,
  • z retencją max 3 miesiące,
  • bez nagrywania toalet, szatni, sal lekcyjnych,
  • po przeprowadzeniu DPIA.

Naruszenia są częste w polskich szkołach i sankcjonowane przez UODO upomnieniami i karami.

7. SIO — System Informacji Oświatowej

SIO gromadzi dane uczniów, nauczycieli, kierowników placówek. Przekazywane przez szkołę do bazy centralnej MEiN. Podstawa: art. 6 ust. 1 lit. c RODO (obowiązek prawny). Dyrektor szkoły jest administratorem w zakresie SIO. Wymóg klauzuli informacyjnej dla rodziców i uczniów.

8. Uczelnie wyższe — specyfika

Uczelnie przetwarzają dane: kandydatów (rekrutacja), studentów (kształcenie), absolwentów (dyplomy, śledzenie karier), pracowników naukowych (badania), uczestników projektów (granty). System POL-on (analogia SIO dla uczelni). USOS (system obsługi studiów) — wewnętrzny lub od dostawcy. Każda uczelnia ma IOD i RCP per dział.

9. Kary UODO w edukacji

Podmiot Rok Sankcja Powód
Szkoła Podstawowa w Gdańsku 2020 upomnienie publikacja danych rodziców
Politechnika Warszawska 2022 45 tys. zł wyciek danych studentów
Uniwersytet Śląski 2023 apercipowanie monitoring niezgodny z PO
Liceum w Krakowie 2024 apercipowanie publikacja list klas

10. Badania naukowe a RODO

Art. 89 RODO + art. 14 ustawy o ochronie danych pozwalają na przetwarzanie do celów badań naukowych z odstępstwami: pseudonimizacja jako warunek, brak prawa do usunięcia (art. 17 ust. 3 lit. d), ograniczenie prawa dostępu (art. 89 ust. 2). Wymóg DPIA dla badań na dużą skalę. Komisja bioetyczna ocenia również aspekty RODO.

11. Klauzule informacyjne dla rodziców i uczniów

Standard: krótka klauzula uproszczona w karcie zgłoszeniowej + pełna klauzula dostępna na stronie szkoły. Treść: administrator (szkoła), IOD (kontakt), cele (kształcenie, SIO, opieka), podstawy (obowiązek prawny + zgody), odbiorcy (MEiN, lekarz szkolny, kuratorium), retencja, prawa. Dwujęzyczność rekomendowana w szkołach z dziećmi cudzoziemskimi.

12. Checklista zgodności szkoły

  • IOD wyznaczony i zgłoszony do UODO.
  • RCP z czynnościami: kształcenie, SIO, monitoring, kadry, BHP.
  • Polityka korzystania z dziennika elektronicznego.
  • Procedura zgód na zdjęcia/wizerunek.
  • Klauzule informacyjne dla rodziców, uczniów, nauczycieli.
  • DPIA dla monitoringu i dziennika.
  • Umowy powierzenia z dostawcami IT.
  • Szkolenia nauczycieli min. raz w roku. Zobacz GDPR education.

13. Wytyczne UODO dla sektora edukacji

UODO wydał w 2022 r. obszerny “Poradnik dla szkół” i w 2024 r. zaktualizowane wytyczne dla EdTech. Kluczowe rekomendacje: weryfikacja zgody rodzica/opiekuna dla dzieci poniżej 13 lat (po polskim obniżeniu progu z art. 8 RODO), oddzielenie zgód marketingowych od zgód niezbędnych do procesu dydaktycznego, audyt aplikacji edukacyjnych instalowanych na urządzeniach uczniów (testy Google Classroom, Microsoft Teams for Education, Khan Academy), bezpieczeństwo zdalnej nauki (szyfrowane kanały, MFA dla kont szkolnych), kontrola transferów do USA (DPF dla większości platform EdTech), zakaz wykorzystywania danych uczniów do trenowania modeli AI bez wyraźnej podstawy. Wytyczne podkreślają również szczególną odpowiedzialność dyrektorów szkół przy wyborze dostawców dziennika elektronicznego — co najmniej ISO 27001, certyfikacja w zakresie ochrony dzieci, transparentność algorytmów rekomendacyjnych jeśli używane.

14. Przecięcie z Prawem oświatowym i sankcje

Prawo oświatowe (art. 108a — monitoring, art. 47 — dokumentacja przebiegu nauczania) i RODO uzupełniają się. Naruszenie ustawy może aktywować podwójne sankcje: kuratorium (nadzór pedagogiczny) i UODO (ochrona danych). W 2024-2025 UODO sankcjonował szereg gmin za nieprawidłowy monitoring w szkołach gminnych (zwykle upomnienia), Politechnika Warszawska otrzymała 45 tys. zł za wyciek danych studentów z systemu rekrutacyjnego, Uniwersytet Śląski — upomnienie za publikację list studentów z numerami albumu. Sankcje karne dla nauczycieli za nieuprawniony dostęp (art. 107 ustawy o ochronie danych) — do 2 lat pozbawienia wolności. Patrz Kary UODO 2025, RODO Art. 32 bezpieczeństwo, umowa powierzenia wzór.

FAQ

Czy nauczyciel może publikować zdjęcia uczniów w mediach społecznościowych?

Tylko za zgodą rodziców (uczeń niepełnoletni) lub pełnoletniego ucznia, dla każdego konkretnego celu. Generalna zgoda “na promocję szkoły” jest niewystarczająca.

Czy szkoła może wymagać PESEL przy zapisie?

Tak, dla SIO i dziennika. PESEL jest danymi obowiązkowymi w polskim systemie oświatowym. Nie można jednak żądać PESEL do celów nieobjętych obowiązkiem (np. konkursy szkolne).

Jak długo przechowywać dziennik?

Arkusz ocen — 50 lat (rozporządzenie MEN). Dziennik bieżący — zgodnie z przepisami archiwalnymi placówki. Dane medyczne ucznia — do końca okresu nauki + 5 lat.

Czy rodzic ma prawo dostępu do dziennika drugiego dziecka?

Tylko swojego dziecka lub po uzyskaniu zgody drugiego rodzica. Konta w dzienniku elektronicznym są indywidualne.

Czy uczelnia może udostępniać oceny innym studentom?

Nie. Oceny są danymi indywidualnymi. Publikacja “tablicy ocen” na korytarzu z PESEL lub imieniem i nazwiskiem to naruszenie RODO. Dopuszczalne: udostępnienie własnej oceny po zalogowaniu do USOS.

Czy szkoła może używać Google Classroom lub Microsoft Teams for Education?

Tak, ale wymaga: umowy powierzenia (DPA), konfiguracji EU data residency tam gdzie dostępna, wyłączenia funkcji analitycznych i marketingowych, blokady tworzenia kont zewnętrznych przez uczniów, wyłączenia integracji z osobistym kontem rodzica. UODO w 2023 r. zwrócił uwagę na nieprawidłowe konfiguracje Google Workspace for Education w polskich szkołach (aktywne reklamy spersonalizowane dla nauczycieli, dostęp Google do treści dla trenowania AI). Polska Akademia Nauk opublikowała raport krytyczny dotyczący domyślnych ustawień. Rekomendacja: konfiguracja “Hardening Guide” + audyt corocznie.

Jak postępować z prośbą rodzica o usunięcie danych dziecka po ukończeniu szkoły?

Częściowo można usunąć, ale dokumenty obowiązkowo archiwizowane (arkusz ocen — 50 lat, dane SIO) podlegają retencji ustawowej i nie mogą być usunięte. Inne dane (zdjęcia, dane kontaktowe, dane marketingowe) — tak, w 30 dni od wniosku. Odpowiedź na wniosek musi być pisemna z uzasadnieniem zakresu odmowy. Naruszenie procedury rozpatrywania wniosków (art. 12 RODO) — kara do 10 mln EUR.

Czy konkursy szkolne z publikacją zdjęć laureatów wymagają zgody?

Tak, dwóch typów: zgoda RODO na przetwarzanie wizerunku + zgoda z prawa autorskiego (jeśli zdjęcie ma walor artystyczny). Dodatkowo wskazane: konkretny cel (strona szkoły, ulotka, social media), konkretny czas (1 rok, 3 lata), prawo do wycofania. Zgody zbierane od rodzica dla uczniów niepełnoletnich oraz osobno od pełnoletnich uczniów. UODO w 2024 r. ukarał szkołę w Lublinie za niezgodne z RODO publikowanie zdjęć w mediach społecznościowych bez aktualnych zgód.

Podstawa prawna i źródła

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →