Anonimizacja i pseudonimizacja danych uczniów: różnice, ryzyka, przykłady

Podstawowe pojęcia: czym jest anonimizacja i pseudonimizacja danych uczniów

Definicja anonimizacji danych uczniów

Anonimizacja danych uczniów to taki sposób przetwarzania informacji, który powoduje, że nie da się już zidentyfikować konkretnego ucznia ani bezpośrednio, ani pośrednio. Ani dyrektor, ani wychowawca, ani administrator systemu – nikt nie jest w stanie powiązać rekordu w bazie z realną osobą, nawet korzystając z dodatkowych informacji z zewnątrz, którymi rozsądnie może dysponować.

Zanonimizowane dane przestają być danymi osobowymi w rozumieniu RODO. Oznacza to, że:

• nie stosuje się do nich większości obowiązków wynikających z ochrony danych osobowych,
• nie można zrealizować na nich praw ucznia lub rodzica (np. prawa do usunięcia, sprostowania czy dostępu), bo nie da się ich powiązać z konkretną osobą,
• są traktowane jak zwykłe dane statystyczne lub badawcze.

W edukacji anonimizacja bywa używana np. przy tworzeniu raportów zbiorczych dla organu prowadzącego, analiz ogólnokrajowych, raportów naukowych czy benchmarków między szkołami, w których nie jest konieczne wskazywanie uczniów z imienia i nazwiska.

Definicja pseudonimizacji danych uczniów

Pseudonimizacja danych uczniów to przetwarzanie, w którym dane identyfikujące (np. imię, nazwisko, PESEL, numer legitymacji) zostają zastąpione innym oznaczeniem – najczęściej losowym identyfikatorem, kodem lub haszem. Kluczowa różnica polega na tym, że istnieje możliwość ponownego powiązania tego kodu z konkretnym uczniem, jeśli posiada się odpowiedni klucz lub dodatkowe informacje.

Z punktu widzenia RODO pseudonimizacja jest środkiem bezpieczeństwa, a nie sposobem na wyłączenie danych spod przepisów. Dane pseudonimizowane to wciąż dane osobowe. Nadal obowiązuje podstawa prawna, informowanie, zasada minimalizacji, retencja itd.

Pseudonimizacja jest szczególnie użyteczna tam, gdzie:

• konieczna jest śledzenie historii ucznia w czasie (np. postępy w nauce, efekty interwencji),
• ważna jest ochrona prywatności wobec nauczycieli z innych szkół, badaczy czy zewnętrznych firm analitycznych,
• instytucja chce ograniczyć grono osób mających dostęp do pełnej identyfikacji, a reszcie udostępnia jedynie dane zakodowane.

Proste przykłady rozróżniające oba podejścia

Dla przejrzystości porównajmy dwa konkretne scenariusze.

• Anonimizacja: szkoła przygotowuje raport o wynikach egzaminu ósmoklasisty. Zestawienia są w formie: „Średni wynik z matematyki w klasie 8A – 62%, 8B – 71%” bez żadnych identyfikatorów uczniów. Dodatkowo usunięto wszelkie dane, które mogłyby prowadzić do identyfikacji w małych klasach (np. informacja o uczniach z orzeczeniami, gdy w klasie jest ich tylko jedna osoba).
• Pseudonimizacja: w tej samej szkole prowadzi się projekt analityczny, w którym każdy uczeń ma nadany losowy identyfikator, np. „U-58341”. Imię, nazwisko i PESEL znajdują się w osobnej, zabezpieczonej tabeli dostępnej tylko administratorowi. Analizy wyników, frekwencji i zachowania odbywają się na podstawie identyfikatora „U-58341”, a nauczyciel czy analityk nie zna danych osobowych ucznia – zna wyłącznie kod.

W drugim przypadku dyrektor w razie potrzeby (np. interwencji wychowawczej) może powiązać kod z konkretną osobą dzięki dodatkowej tabeli. To właśnie przesądza o pseudonimizacji, a nie anonimizacji.

Różnice między anonimizacją a pseudonimizacją danych uczniów

Podstawowe różnice prawne

Najważniejsza z punktu widzenia dyrektora szkoły, uczelni czy organu prowadzącego jest różnica prawna. W praktyce sprowadza się ona do odpowiedzi na pytanie: czy dane wciąż są danymi osobowymi.

Z tego wynika praktyczna wskazówka: jeśli którykolwiek pracownik szkoły, dostawca systemu lub podmiot zewnętrzny jest w stanie w rozsądny sposób odtworzyć tożsamość ucznia – to nie jest anonimizacja, lecz pseudonimizacja, niezależnie od tego, jak nazwiemy ten proces w dokumentach.

Różnice techniczne i organizacyjne

Od strony technicznej anonimizacja i pseudonimizacja różnią się celem i sposobem przechowywania danych.

• Anonimizacja: przetwarzanie jednokierunkowe. Dane identyfikujące są usuwane lub zastępowane w taki sposób, że nie da się ich już odzyskać. Dyrektor nie przechowuje żadnego „klucza odwrotnego”. Dane są używane wyłącznie zbiorczo (np. suma, średnie, procenty, rankingi szkół).
• Pseudonimizacja: przetwarzanie odwracalne. Dane są „ukryte” za identyfikatorem. Klucz odwzorowujący identyfikator na osobę jest przechowywany w innym systemie lub inaczej zabezpieczony. Można wrócić do tożsamości ucznia, jeśli jest to uzasadnione.

Organizacyjnie przekłada się to na inne procedury:

• anonimizacja następuje najczęściej po zakończeniu celu przetwarzania (np. po kilku latach, po zakończeniu rocznika) i wiąże się z trwałą utratą możliwości identyfikacji,
• pseudonimizacja stosowana jest podczas aktywnego przetwarzania, by ograniczyć dostęp do danych osobowych nauczycielom, analitykom czy zewnętrznym partnerom technicznym.

Różnice praktyczne w pracy szkoły i uczelni

Z perspektywy codziennej pracy w oświacie te różnice przekładają się na konkretne decyzje.

Dla dyrektora szkoły anonimizacja będzie przydatna zwłaszcza wtedy, gdy:

• nie potrzeba już indywidualnych danych uczniów, a ważne są wyłącznie statystyki,
• kończy się okres przechowywania dokumentacji i trzeba ograniczyć zakres danych,
• szkoła przekazuje dane do publicznego raportu (np. na stronę gminy), gdzie identyfikacja ucznia byłaby niepożądana lub ryzykowna.

Z kolei pseudonimizacja przyda się, gdy:

• prowadzone są badania lub projekty edukacyjne, wymagające śledzenia postępów tego samego ucznia w czasie,
• szkoła korzysta z zewnętrznych systemów analitycznych, do których woli nie wysyłać imion, nazwisk i PESEL-i,
• chce się ograniczyć wrażliwość ewentualnego wycieku danych – dane pseudonimizowane są mniej atrakcyjne dla atakującego niż dane jawne.

Kiedy dane uczniów są nadal danymi osobowymi

Identyfikacja bezpośrednia i pośrednia

Dane ucznia są danymi osobowymi, gdy pozwalają na identyfikację konkretnego dziecka. Może ona mieć charakter bezpośredni lub pośredni:

• Identyfikacja bezpośrednia: imię, nazwisko, PESEL, numer legitymacji, adres e-mail w formacie imię.nazwisko@…, numer telefonu ucznia lub rodzica.
• Identyfikacja pośrednia: zestaw cech, które w praktyce pozwalają wskazać osobę, np. „uczeń klasy 7B, jedyny laureat konkursu wojewódzkiego z matematyki, mieszkaniec małej miejscowości X”. Nawet jeśli nie ma imienia i nazwiska, w realiach szkoły taka kombinacja cech jednoznacznie wskazuje konkretną osobę.

W kontekście anonimizacji i pseudonimizacji trzeba brać pod uwagę oba rodzaje identyfikacji. Usunięcie imienia i nazwiska nie zawsze wystarczy, aby dane przestały być danymi osobowymi.

Granica między danymi zanonimizowanymi a zubożonymi

Często w praktyce spotyka się sytuację, gdy dyrektor lub nauczyciele uznają dane za „zanonimizowane”, bo usunięto widoczne identyfikatory. Tymczasem dane są jedynie zubożone, ale nadal da się przyporządkować je do konkretnego ucznia.

Przykład:

• W raporcie z klasy usuwa się kolumny: imię, nazwisko, PESEL.
• Pozostawia się: datę urodzenia, płeć, typ orzeczenia, wyniki z poszczególnych przedmiotów, opis sytuacji rodzinnej.

Jeśli raport dotyczy jednej klasy liczącej kilkanaście osób, większość nauczycieli bez trudu rozpozna, kto jest kim. Jeśli w małej miejscowości tylko jeden uczeń ma orzeczenie o określonym typie niepełnosprawności – zestaw cech niemal jednoznacznie go wskazuje. To wciąż dane osobowe, choć pozbawione części informacji.

Prawdziwa anonimizacja wymaga oceny, czy rozsądnie dostępne informacje (np. wiedza nauczycieli o klasie, informacje z dziennika elektronicznego, lokalne plotki) nie pozwolą odtworzyć tożsamości. Nie liczy się tylko perspektywa informatyka lub prawnika, lecz także realia szkolne.

Ocena ryzyka ponownej identyfikacji

Przed uznaniem danych za zanonimizowane warto przeprowadzić przynajmniej prostą ocenę ryzyka ponownej identyfikacji. Pomagają w tym pytania:

• Czy w danej klasie / roczniku występują unikalne połączenia cech (np. jedyny uczeń z konkretnym typem orzeczenia i bardzo wysoką absencją)?
• Czy osoba, która zna klasę (wychowawca, pedagog), po spojrzeniu na wiersze danych potrafi rozpoznać uczniów? Nawet jeśli musi się chwilę zastanowić – to sygnał, że dane nie są w pełni zanonimizowane.
• Czy da się dane połączyć z innym zbiorem (np. z publicznymi wynikami konkursów, listami nagrodzonych) i w ten sposób wskazać osoby?
• Czy zanonimizowane dane nie zawierają szczególnie charakterystycznych opisów, np. „uczeń przebył ciężką chorobę w klasie 5” w klasie, w której wszyscy znają tę historię?

Jeżeli odpowiedzi wskazują na wysokie ryzyko rozpoznania uczniów, trzeba zastosować dodatkowe techniki anonimizacji (agregacja, uogólnienie danych, łączenie kategorii) albo zdecydować, że tak przygotowany zbiór jest co najwyżej pseudonimizowany i należy go traktować jak dane osobowe.

Techniki anonimizacji danych uczniów – praktyczne podejścia

Usuwanie i maskowanie identyfikatorów bezpośrednich

Podstawowym krokiem anonimizacji jest usunięcie identyfikatorów bezpośrednich z danych uczniów. Dotyczy to w szczególności:

• imienia i nazwiska,
• PESEL-u, numeru legitymacji,
• adresu zamieszkania,
• adresu e-mail, numeru telefonu,
• loginów do systemów (jeśli wynikają z imienia i nazwiska).

Czasami zamiast pełnego usunięcia stosuje się maskowanie (np. pierwsza litera imienia, pierwsze dwie cyfry kodu pocztowego). W anonimizacji takie maskowanie jest ryzykowne, bo w małych populacjach może ułatwiać identyfikację. Jeśli w szkole jest tylko jeden uczeń z imieniem na literę „Q”, to samo ujawnienie tej litery może być zbyt charakterystyczne.

Usunięcie identyfikatorów bezpośrednich jest konieczne, ale w kontekście danych edukacyjnych prawie nigdy niewystarczające. Konieczne są kolejne kroki.

Uogólnianie i agregowanie danych

Łączenie kategorii i redukowanie szczegółowości

Przy danych uczniów jednym z najczęstszych źródeł ponownej identyfikacji są zbyt szczegółowe kategorie. Zamiast usuwać całe kolumny, można je „poszerzyć”, tak aby pojedynczy uczeń nie wyróżniał się w zbiorze.

Przykładowe zabiegi:

• zamiast dokładnej daty urodzenia – rok urodzenia lub przedziały typu „uczeń młodszy/uczeń starszy w roczniku”,
• zamiast szczegółowego opisu miejsca zamieszkania – gmina lub powiat zamiast konkretnej miejscowości, szczególnie przy małych wsiach,
• zamiast precyzyjnego typu orzeczenia – szersze grupy (np. „orzeczenie o potrzebie kształcenia specjalnego” bez rozbijania na podtypy),
• zamiast dokładnej liczby godzin nieobecności – przedziały (0–10, 11–30, 31+),
• zamiast wąskich kategorii etnicznych, wyznaniowych czy językowych – „inne” albo brak tej informacji w ogóle, jeżeli nie jest kluczowa dla celu analizy.

Tego typu uogólnianie ogranicza możliwość wskazania „tego jednego ucznia z rzadkim typem orzeczenia i wyjątkowo dużą liczbą nieobecności”. Dane tracą nieco precyzji, ale w wielu raportach szkolnych to akceptowalny kompromis.

Anonimizacja przez agregację wyników

Zamiast publikować dane uczniów w formie wierszy, można łączyć je w grupy i prezentować wyłącznie zestawienia zbiorcze. W praktyce oświatowej oznacza to m.in.:

• średnie i mediany wyników dla klas, roczników lub całej szkoły,
• procentowy udział uczniów w określonych przedziałach ocen (np. odsetek osób z ocenami 4–6 z matematyki),
• liczebność uczniów z określonym statusem (np. liczba uczniów z orzeczeniem, ale bez dalszego rozbijania na klasy i typy),
• zestawienia łączące kilka szkół – jeśli analiza dotyczy gminy lub powiatu, zamiast raportów z każdej małej szkoły osobno.

Agregacja jest jednym z najskuteczniejszych sposobów utrudnienia identyfikacji, zwłaszcza w małych środowiskach. Dane o jednej szkole liczącej kilkunastu uczniów są znacznie bardziej ryzykowne niż dane łączące kilka szkół z tego samego obszaru.

Jeżeli nawet w ramach agregacji widać, że jakaś komórka tabeli reprezentuje bardzo małą grupę (np. „1 uczeń z orzeczeniem w klasie 8A”), najlepiej:

• łączyć kategorie (np. wszystkie klasy 7–8), albo
• zastosować zapis zbiorczy, np. „<5 uczniów” zamiast dokładnej liczby.

Modyfikacje danych i dodawanie „szumu”

W niektórych analizach statystycznych stosuje się celowe, niewielkie zniekształcenia danych, aby utrudnić przypisanie ich do konkretnych osób. W szkołach można to rozważyć jedynie w ściśle kontrolowanych sytuacjach – na przykład przy przygotowywaniu publicznych raportów, w których nie jest wymagana pełna precyzja liczebności.

Przykładowe techniki:

• zaokrąglanie wyników – zamiast średniej 3,67 z matematyki, prezentowanie 3,7 lub nawet 3,5/4,0,
• modyfikacja liczebności o 1 w małych kategoriach („2–3 uczniów” zamiast „1 uczeń”),
• grupowanie ekstremów – wszyscy uczniowie z bardzo niskimi wynikami w jednym koszyku zamiast podawania dokładnych różnic,
• dodawanie szumu do danych liczbowych przy dużych zbiorach (np. przy budowaniu modeli prognostycznych we współpracy z uczelnią), przy czym decyduje administrator danych po konsultacji z osobą odpowiedzialną za ochronę danych.

Przy tego typu modyfikacjach trzeba pilnować, aby:

• nie zafałszować kluczowych wniosków (np. nie zamienić szkoły z realnym problemem edukacyjnym w „przeciętną” przez zbyt mocne uśrednienie),
• nie podawać na tyle szczegółowego opisu samej metody, by można było odtworzyć wartości wyjściowe.

Pseudonimizacja w praktyce – role, klucze, procedury

W wielu szkołach i uczelniach pseudonimizacja sprowadza się do nadania uczniom numerów. Żeby ta praktyka rzeczywiście podnosiła poziom ochrony, nie wystarczy wstawić kolumny „ID ucznia”. Potrzebna jest cała „otoczka” organizacyjna.

Kluczowe decyzje dotyczą:

• sposobu tworzenia identyfikatorów – numery losowe (np. sekwencja liczb bez znaczenia) są bezpieczniejsze niż identyfikatory zawierające informacje (np. skrót szkoły, rok rozpoczęcia nauki),
• miejsca przechowywania tabeli powiązań (ID ↔ imię, nazwisko, PESEL) – najlepiej w systemie, do którego ma dostęp wyłącznie administrator danych lub wyznaczony pracownik,
• rozdzielenia uprawnień – osoby analizujące dane (np. zespół ds. jakości kształcenia) pracują wyłącznie na identyfikatorach; możliwość „odkodowania” ma wąska grupa osób,
• czasowego charakteru klucza – w projektach badawczych klucz może zostać zniszczony po zakończeniu analizy, dzięki czemu dane stają się w praktyce zanonimizowane.

Wychowawca, który drukuje dla siebie listę „ID → imię i nazwisko” i kładzie ją w otwartej szufladzie, de facto likwiduje korzyści z pseudonimizacji. Dlatego procedury powinny obejmować także:

• zakaz przesyłania kluczy w niezaszyfrowanych mailach,
• przechowywanie wydruków z kluczami w zamykanych szafkach lub – jeśli to możliwe – wyłącznie w wersji elektronicznej,
• jasne określenie, kto i w jakich sytuacjach może „odpseudonimizować” dane (np. tylko w ramach konkretnych postępowań lub interwencji).

Scenariusze stosowania anonimizacji i pseudonimizacji w szkole

Najłatwiej poukładać praktykę, opierając się na powtarzalnych scenariuszach. W szkołach i uczelniach kilka z nich wraca regularnie.

Publikacja wyników egzaminów i konkursów

Przy wywieszaniu list laureatów lub wyników egzaminów łączą się dwa obowiązki: transparentność wobec społeczności i ochrona prywatności. W zależności od kontekstu można zastosować różne podejścia:

• dla informowania uczniów o indywidualnych wynikach – lepsze będzie przekazywanie informacji przez dziennik elektroniczny lub indywidualne konta niż publiczne listy,
• dla komunikacji sukcesów szkoły na zewnątrz – wystarczy często opis zbiorczy, np. „trzech uczniów zdobyło tytuł laureata”, bez imion i nazwisk, chyba że uzyskano ważną podstawę prawną i zgodę na bardziej szczegółową publikację,
• dla raportów statystycznych wysyłanych do organu prowadzącego – stosuje się anonimizację lub silną pseudonimizację, jeśli organ prowadzący musi móc odtworzyć dane jednostkowe.

Badania naukowe i projekty zewnętrzne

Uniwersytety, instytuty badawcze czy firmy edtech często proszą szkoły o dostęp do danych uczniów. Punktem wyjścia powinno być pytanie: czy badacz naprawdę potrzebuje możliwości zidentyfikowania ucznia?

Kilka praktycznych rozwiązań:

• jeżeli badanie dotyczy trendów (np. wpływu liczby godzin zajęć na wyniki) – zazwyczaj wystarczą dane zanonimizowane i zagregowane,
• jeżeli trzeba śledzić zmianę w czasie u tego samego ucznia – wystarczą identyfikatory nadane przez szkołę (pseudonimizacja), bez przekazywania imion, nazwisk czy PESEL-i,
• jeżeli partner zewnętrzny żąda pełnych danych osobowych – szkoła musi mieć solidną podstawę prawną i szczególnie rozbudowane zabezpieczenia umowne (umowa powierzenia, zakres dostępu, logowanie operacji).

Bez względu na scenariusz, to szkoła jako administrator danych odpowiada za ocenę, czy dany poziom anonimizacji/pseudonimizacji jest adekwatny do celu badania.

Ewaluacja wewnętrzna i analizy pedagogiczne

Zespoły nauczycielskie coraz częściej analizują dane uczniów pod kątem jakości nauczania. Wewnętrzne analizy (np. porównanie wyników z egzaminu ósmoklasisty pomiędzy klasami) można prowadzić na:

• danych imiennych, gdy ocenia się wsparcie dla konkretnych uczniów,
• danych pseudonimizowanych, gdy priorytetem jest analiza trendów, a nie decyzje dotyczące pojedynczych dzieci,
• danych zanonimizowanych i zagregowanych, gdy wyniki mają trafić na radę pedagogiczną czy do organu prowadzącego bez potrzeby wskazywania konkretnych osób.

Warto rozgraniczyć te poziomy już na etapie projektowania narzędzi – dziennik elektroniczny, arkusze kalkulacyjne, systemy analityczne powinny umożliwiać łatwe przechodzenie z danych imiennych do pseudonimów, a następnie do raportów zbiorczych.

Typowe błędy przy anonimizacji i pseudonimizacji danych uczniów

Problemy pojawiają się zwykle nie w wysokospecjalistycznych projektach, ale w codziennej praktyce. Kilka powtarzających się błędów:

• „Anonimizacja” przez usunięcie tylko imion i nazwisk – przy zachowaniu rzadkich kombinacji cech lub dokładnych opisów sytuacji rodzinnej,
• trzymanie klucza pseudonimizacyjnego w tym samym pliku (np. druga zakładka w Excelu z nazwami „ID ↔ uczeń”) albo w tym samym folderze bez dodatkowych zabezpieczeń,
• przekazywanie zbyt szczegółowych raportów małym grupom – na przykład wysyłanie do rodziców klasy pełnej tabeli z wynikami wszystkich uczniów, nawet jeśli nie ma imion,
• łączenie zbyt wielu źródeł w jednym zestawieniu – np. wyniki, absencja, orzeczenia, opis sytuacji socjalnej i osiągnięcia sportowe w jednym wierszu,
• brak weryfikacji „oczami nauczyciela” – raport wygląda dobrze dla informatyka, ale wychowawca od razu widzi, kto jest kim.

Dobrą praktyką jest krótkie „przeglądowe” spotkanie: osoba przygotowująca anonimizację pokazuje próbkę danych komuś, kto zna klasę lub rocznik, i wspólnie oceniają, czy identyfikacja jest nadal możliwa.

Rola dyrektora i inspektora ochrony danych

Odpowiedzialność za właściwe stosowanie anonimizacji i pseudonimizacji nie spoczywa wyłącznie na informatyku czy wychowawcach. Kluczowe są decyzje zarządcze.

Po stronie dyrektora leżą w szczególności:

• ustalenie, w jakich procesach szkoła stosuje anonimizację, a w jakich pseudonimizację (np. ewaluacja wewnętrzna, współpraca z poradniami, projekty zewnętrzne),
• zatwierdzenie procedur i instrukcji – kto tworzy identyfikatory, gdzie przechowywany jest klucz, kiedy dane są trwale anonimizowane,
• zapewnienie szkoleń dla nauczycieli i pracowników administracji, tak aby wiedzieli, jak przygotować raport czy arkusz do udostępnienia poza szkołą,
• kontrola, czy zasady nie kończą się na papierze – np. przegląd praktyki udostępniania danych organowi prowadzącemu lub partnerom zewnętrznym.

Inspektor ochrony danych (IOD), jeśli jest wyznaczony:

• pomaga ocenić ryzyko ponownej identyfikacji,
• wspiera przy wyborze konkretnych technik anonimizacji i pseudonimizacji,
• analizuje umowy z dostawcami systemów i uczelniami, aby jasno określić odpowiedzialność za dane uczniów,
• bierze udział w reagowaniu na incydenty (np. ujawnienie klucza pseudonimizacyjnego).

Współpraca z dostawcami systemów edukacyjnych

Elektroniczne dzienniki, platformy testowe, systemy do zdalnego nauczania – wszyscy ci dostawcy technicznie przetwarzają dane uczniów. Szkoła nie może przenieść odpowiedzialności na nich, ale może wymagać konkretnych rozwiązań.

Przy wyborze i wdrażaniu systemu warto zwrócić uwagę, czy:

• system pozwala na pracę na danych zanonimizowanych lub pseudonimizowanych przy tworzeniu raportów (np. bez wyświetlania imion i nazwisk),
• dostawca nie wykorzystuje danych uczniów do własnych badań bez wyraźnej, odrębnej podstawy prawnej i bez solidnej anonimizacji,

Minimalizacja i retencja danych w kontekście anonimizacji

Sposób, w jaki szkoła planuje czas przechowywania danych, bezpośrednio wpływa na to, kiedy i jak stosuje anonimizację oraz pseudonimizację. Polityka retencji nie może być czysto „archiwistyczna” – musi uwzględniać także ryzyko ponownej identyfikacji.

Przy układaniu harmonogramów usuwania lub anonimizowania danych przydaje się kilka prostych zasad:

• po zakończeniu celu – dane, które nie są już potrzebne do rozliczeń, sprawozdań czy obrony przed roszczeniami, powinny być albo trwale usuwane, albo anonimizowane,
• różne okresy dla różnych zbiorów – dane wychowawcze, dokumentacja pomocy psychologiczno-pedagogicznej czy dane medyczne mają zwykle inne terminy niż np. wyniki testów próbnych,
• „przejście” z danych imiennych do pseudonimów – po pewnym czasie dane mogą być odłączane od imion i nazwisk, a klucz przechowywany oddzielnie, z ograniczonym dostępem,
• końcowa anonimizacja – po upływie okresu, w którym szkoła realnie potrzebuje danych imiennych (np. do obrony przed skargą absolwenta), można zniszczyć klucz i zachować tylko zanonimizowane statystyki.

W praktyce dobrze działa prosta matryca: dla każdego procesu (rekrutacja, przebieg nauczania, pomoc psychologiczno-pedagogiczna, projekty zewnętrzne) opisuje się:

• jakie dane są zbierane i w jakiej formie,
• kiedy następuje pseudonimizacja (jeżeli jest potrzebna),
• w jakim momencie dane stają się trwale zanonimizowane lub są usuwane,
• kto technicznie wykonuje te operacje i jak są one dokumentowane.

Ocena ryzyka ponownej identyfikacji

Samo usunięcie oczywistych identyfikatorów nie wystarcza. Trzeba zastanowić się, z jaką wiedzą na temat uczniów mogą mieć do czynienia odbiorcy danych – nauczyciele, rodzice, lokalne media, badacze. Ryzyko nie wygląda tak samo w niewielkiej wiejskiej szkole i w dużej szkole w mieście.

Przy szacowaniu ryzyka pomocne są pytania kontrolne:

• czy w danej grupie występują bardzo rzadkie kombinacje cech (np. jedyny uczeń z orzeczeniem o potrzebie nauczania indywidualnego i medalista mistrzostw kraju),
• jak mała jest grupa, do której odnoszą się dane (klasa, koło zainteresowań, grupa wsparcia),
• czy odbiorca danych zna uczniów na tyle, by domyślać się tożsamości na podstawie kontekstu,
• czy w tym samym czasie publicznie dostępne są inne informacje, które można połączyć (np. artykuł w lokalnej gazecie, strona szkoły, profil w mediach społecznościowych).

Niewielka modyfikacja zestawu danych – np. zastąpienie dokładnego wieku przedziałami rocznymi, „rozmycie” wyników punktowych do kategorii (niski/średni/wysoki) albo łączenie małych grup w większe – często znacząco obniża ryzyko, przy zachowaniu wartości analitycznej.

Anonimizacja i pseudonimizacja danych wrażliwych

Szczególnej ostrożności wymagają informacje o zdrowiu, niepełnosprawności, sytuacji rodzinnej, wyznaniu czy pochodzeniu etnicznym. W szkołach takie dane pojawiają się m.in. w dokumentacji pomocy psychologiczno-pedagogicznej, w kartach IPET, w korespondencji z poradniami.

Przy przetwarzaniu i „odchudzaniu” tego typu informacji stosuje się surowsze zasady:

• ograniczanie dostępu do danych imiennych wyłącznie do osób bezpośrednio zaangażowanych w pracę z uczniem,
• przy analizach zbiorczych – maksymalnie daleko idąca anonimizacja (łączenie w grupy, usuwanie rzadkich cech, unikanie opisów narracyjnych),
• rezygnowanie z detali, które nie są konieczne do celu analizy, lecz czynią ucznia rozpoznawalnym (np. szczegółowy opis sytuacji rodzinnej w raporcie dla rady pedagogicznej),
• w przypadku projektów zewnętrznych – dokładne uregulowanie w umowie, że partner nie łączy danych z innymi zbiorami, nawet jeśli mógłby to zrobić technicznie.

Typowa sytuacja: pedagog przygotowuje prezentację na radę pedagogiczną o efektach wsparcia psychologicznego. Dane jednostkowe mogą być szczegółowe, ale tylko w wąskim gronie osób pracujących bezpośrednio z uczniem. Prezentacja dla całego grona powinna już być mocno zanonimizowana i agregować informacje na poziomie roczników lub „typów trudności”, bez możliwości dojścia do konkretnych dzieci.

Dokumentowanie procesów anonimizacji w szkole

Jeśli pojawia się pytanie ze strony rodzica, organu prowadzącego lub organu nadzorczego, szkoła musi być w stanie pokazać, jak dochodzi do anonimizacji lub pseudonimizacji danych. Dobrze opisane procesy chronią nie tylko uczniów, ale też pracowników.

Najczęściej wykorzystywane dokumenty i narzędzia to:

• procedura operacyjna – krok po kroku: skąd pochodzą dane, kto je wybiera, jakie identyfikatory są usuwane, jakie są reguły grupowania, jak i gdzie przechowywany jest klucz,
• rejestr udostępnień i eksportów – która osoba, kiedy i z jakiego systemu wygenerowała zestaw danych, w jakiej postaci (imienny, pseudonimizowany, zanonimizowany),
• szablony raportów – gotowe struktury arkuszy i sprawozdań, w których z góry przewidziano, jakie pola mogą wystąpić, a jakie są zabronione,
• instrukcje dla konkretnych systemów – krótkie „ściągawki” dla nauczycieli: jak wygenerować raport dla rady klasowej, jak przygotować zestawienie dla poradni, jak usunąć zbędne kolumny.

W wielu placówkach poprawę przynosi prosty zabieg: zamiast za każdym razem „kombinować” przy Excelu, zespół przygotowuje kilka wzorcowych szablonów, konsultuje je z IOD i dyrektorem, a następnie wykorzystuje je w kolejnych latach.

Przykładowe procedury robocze dla nauczycieli

Same ogólne zasady są dla wielu osób zbyt abstrakcyjne. Konkretny, prosty scenariusz postępowania przy codziennych zadaniach ułatwia stosowanie anonimizacji i pseudonimizacji bez zastanawiania się za każdym razem od zera.

Dla ilustracji można rozpisać kilka typowych sytuacji:

• przygotowanie zestawienia wyników klasowych dla rady pedagogicznej:
  • nauczyciel eksportuje dane z dziennika z imionami i nazwiskami,
  • w arkuszu tworzy nową kolumnę z identyfikatorami (np. K1, K2, K3…),
  • dla prezentacji usuwa kolumny z danymi osobowymi, pozostawia tylko identyfikatory i wyniki,
  • plik z pełnymi danymi i kluczem przechowuje w zabezpieczonym folderze, a wersję zanonimizowaną w folderze dostępnym dla wszystkich nauczycieli.
• przekazanie danych do poradni psychologiczno-pedagogicznej:
  • jeśli podstawą prawną jest indywidualne wsparcie ucznia – poradnia otrzymuje dane imienne, ale tylko w zakresie niezbędnym do postępowania,
  • jeśli poradnia prowadzi badanie statystyczne (np. analiza częstotliwości określonych trudności w powiecie) – przekazuje się dane zanonimizowane lub pseudonimizowane, z wyraźnym podziałem ról i odpowiedzialności.
• przygotowanie materiałów szkoleniowych z realnych przypadków:
  • przy tworzeniu opisów przypadków (case studies) usuwa się nie tylko imiona, ale też informacje „zakotwiczające” – nazwy miejscowości, specyficzne zainteresowania, wyjątkowe zdarzenia,
  • opis powinien pokazywać mechanizm pedagogiczny lub wychowawczy, a nie pozwalać na odgadnięcie, o którym uczniu mowa.

Anonimizacja a prawo do informacji rodziców i uczniów

Zdarza się, że rodzice proszą o wgląd w szerokie zestawienia – chcą porównać wyniki swojego dziecka z resztą klasy albo rocznika. W takich sytuacjach trzeba wyważyć prawo do informacji z prawem innych uczniów do prywatności.

Bezpiecznym podejściem jest:

• udostępnianie danych imiennych wyłącznie dotyczących własnego dziecka,
• jeśli rodzic chce znać kontekst – pokazanie zanonimizowanej statystyki (np. rozkładu ocen, mediany, kwartyle), bez możliwości zidentyfikowania innych osób,
• unikanie tabel, które – nawet bez imion – pozwalają rodzicom szybko odgadnąć, kto kryje się pod którym wierszem, zwłaszcza w małych klasach.

Analogiczne podejście stosuje się przy udostępnianiu danych pełnoletnim uczniom. Mają oni prawo znać swoje wyniki i informacje o przebiegu nauczania, jednak nie prawo do wglądu w dane imienne kolegów i koleżanek, poza wyjątkami wprost przewidzianymi w przepisach.

Anonimizacja danych w komunikacji zewnętrznej szkoły

Programy stypendialne, projekty współpracy z biznesem, partnerstwa międzynarodowe – każdy z tych podmiotów może oczekiwać od szkoły danych o uczniach, często w zamian za finansowanie lub ofertę dodatkowego wsparcia. Tutaj szczególnie łatwo przesadzić z zakresem przekazywanych informacji.

Kilka praktycznych reguł ograniczających ryzyko:

• na etapie rekrutacji do programu – przetwarzanie imion i nazwisk jest zwykle uzasadnione, lecz dokumenty przesyłane partnerowi powinny zawierać tylko niezbędne dane (np. średnią ocen zamiast pełnej historii ocen, opis osiągnięć zamiast danych wychowawczych),
• na etapie raportowania postępów – partner otrzymuje informacje zanonimizowane lub pseudonimizowane; jeśli musi znać dane imienne (np. wypłata stypendium), zakres szczegółowych danych o sytuacji ucznia powinien być możliwie ograniczony,
• przy publikacji rezultatów projektu (np. broszury, strony internetowe) – stosuje się głównie dane zagregowane; opisy indywidualnych historii uczniów wymagają wyraźnej zgody oraz bardzo starannej pseudonimizacji lub anonimizacji.

Techniczne wsparcie dla anonimizacji w szkołach

Nie każda placówka dysponuje rozbudowanym zapleczem IT, ale nawet proste rozwiązania organizacyjne i techniczne potrafią znacząco ograniczyć ryzyko naruszeń.

Przykładowe działania, które można wdrożyć bez dużych inwestycji:

• przygotowanie makr lub szablonów w popularnych arkuszach kalkulacyjnych, które automatycznie:
  • usuwają kolumny z danymi osobowymi,
  • zastępują datę urodzenia rokiem lub przedziałem wiekowym,
  • zaokrąglają wyniki lub dzielą je na kategorie,
  • generują losowe identyfikatory uczniów.
• konfiguracja ról i uprawnień w dzienniku elektronicznym, tak aby:
  • osoby przygotowujące analizy miały dostęp tylko do niezbędnego zakresu danych,
  • członkowie zespołów przedmiotowych widzieli raporty zbiorcze, a nie pełne listy z wrażliwymi informacjami,
  • każde pobranie dużych zestawów danych było rejestrowane.
• stosowanie szyfrowania przy przesyłaniu kluczy pseudonimizacyjnych lub plików z danymi źródłowymi – nawet prosty, dobrze opisany standard (archiwum z hasłem, szyfrowanie połączenia, oddzielny kanał do przesłania hasła) zmniejsza ryzyko wycieku.

Anonimizacja w małych szkołach i klasach łączonych

W placówkach, gdzie rocznik liczy kilka–kilkanaście osób, zwykłe zagregowanie danych może nie wystarczyć. Nawet po usunięciu imion i nazwisk nauczyciele, rodzice czy uczniowie łatwo odgadują, o kogo chodzi.

W takich środowiskach stosuje się dodatkowe zabezpieczenia:

• łączenie danych z kilku roczników lub klas, tak aby raport dotyczył większej populacji,
• rezygnacja z prezentowania skrajnych wartości (np. najwyższy/najniższy wynik), które jednoznacznie „wskazują palcem” konkretną osobę,
• stosowanie szerszych przedziałów (wiek, oceny, liczba nieobecności),
• obniżanie stopnia szczegółowości w przypadku danych wrażliwych (np. „trudności emocjonalne” zamiast wyszczególnionych diagnoz).

Zdarza się, że przy bardzo małej liczbie uczniów bardziej etyczne jest zrezygnowanie z prezentowania niektórych danych (np. wskaźników związanych z orzeczeniami) niż próba ich „na siłę” anonimizowania.

Budowanie świadomości wśród uczniów i rodziców

Wnioski w skrócie

• Anonimizacja danych uczniów całkowicie uniemożliwia identyfikację konkretnej osoby, przez co takie informacje przestają być danymi osobowymi w rozumieniu RODO.
• Dane zanonimizowane nie podlegają obowiązkom RODO ani realizacji praw uczniów i rodziców; służą głównie do celów statystycznych, analitycznych i badawczych.
• Pseudonimizacja polega na zastąpieniu danych identyfikujących ucznia kodem lub identyfikatorem, przy zachowaniu możliwości odtworzenia tożsamości za pomocą osobnego „klucza”.
• Dane pseudonimizowane pozostają danymi osobowymi, dlatego w pełni obowiązują wobec nich przepisy RODO, w tym prawa dostępu, sprzeciwu, usunięcia i obowiązki administratora.
• W praktyce, jeśli ktokolwiek (np. dyrektor, dostawca systemu) może w rozsądny sposób powiązać rekord z konkretnym uczniem, mamy do czynienia z pseudonimizacją, a nie anonimizacją.
• Anonimizacja ma charakter jednokierunkowy (brak możliwości „odwrócenia”), natomiast pseudonimizacja jest odwracalna dzięki przechowywanemu oddzielnie kluczowi powiązań.
• W szkołach anonimizacja jest stosowana głównie do raportów zbiorczych i analiz zbiorczych, a pseudonimizacja – tam, gdzie trzeba śledzić historię pojedynczego ucznia przy jednoczesnym ograniczeniu dostępu do jego pełnej tożsamości.

Przeczytaj również:

• 

  Anonimizacja danych edukacyjnych – jak to działa?

• 

  RODO a blockchain – czy to się da pogodzić?

• 

  RODO w szkole – jak legalnie analizować dane uczniów?

• 

  RODO w szkole – praktyczne wyzwania

• 

  Edukacja zdalna a RODO – o czym muszą pamiętać nauczyciele?

• 

  Prywatność ucznia vs potrzeby analizy danych – gdzie…