WhatsApp, Messenger, grupy na Facebooku — w przedszkolach darmowe komunikatory to standard. Grupa powstaje w minutę, jest wygodna i nie trzeba niczego konfigurować. Problem w tym, że mało kto zastanawia się, kto tak naprawdę siedzi w tej grupie, co dzieje się z danymi dzieci i czy przypadkiem placówka nie łamie prawa.
Ewa prowadzi przedszkole na 45 miejsc pod Krakowem. Grupy na WhatsAppie ma trzy: jedną dla rodziców Biedronek, jedną dla Motylków, jedną „organizacyjną" z wychowawczyniami. Pewnego dnia wychowawczyni wysłała na grupę informację o planowanej wycieczce z listą dzieci. Problem? W grupie wciąż był ojciec Kuby, który zmienił przedszkole trzy miesiące temu. Nikt go nie usunął. Dane 20 dzieci trafiły do osoby, która nie powinna mieć do nich dostępu.
Ewa nie wiedziała, że jej przedszkole właśnie naruszyło RODO.
To nie jest odosobniony przypadek. WhatsApp w przedszkolu a RODO to dwa światy, które się ze sobą nie zgadzają. W tym artykule wyjaśniamy dlaczego i co można zrobić zamiast tego.
Dlaczego WhatsApp w przedszkolu narusza RODO
Co właściwie się dzieje, gdy wychowawczyni wysyła wiadomość na grupę WhatsApp rodziców?
WhatsApp należy do Meta (m.in. Facebook). Instalując aplikację, każdy użytkownik akceptuje regulamin, który pozwala Meta przetwarzać dane — w tym metadane: kto pisał, kiedy, do kogo — na serwerach poza Europejskim Obszarem Gospodarczym. Owszem, treść wiadomości jest szyfrowana end-to-end. Ale metadane już nie. Meta zbiera informacje o kontaktach, lokalizacji i wzorcach korzystania z aplikacji.
Prywatnie? To wybór każdego z nas. Ale przedszkole to administrator danych osobowych dzieci. I gdy placówka korzysta z WhatsApp do komunikacji z rodzicami, zaczyna się poważny problem z RODO.
Zgodnie z RODO, przedszkole przetwarzające dane osobowe musi:
- Mieć podstawę prawną do przetwarzania danych w danym kanale
- Zawrzeć umowę powierzenia przetwarzania danych z dostawcą narzędzia
- Zapewnić, że dane nie trafiają poza EOG bez odpowiednich zabezpieczeń
- Kontrolować, kto ma dostęp do danych
WhatsApp nie spełnia żadnego z tych warunków. Meta nie zawiera umów powierzenia z przedszkolami — po prostu nie ma takiej opcji. Dyrektor nie kontroluje, kto zapisuje dane z grupy, kto robi zrzuty ekranu, kto przesyła wiadomości dalej. A imiona dzieci, nazwiska, alergie, numery telefonów rodziców? Wszystko ląduje na serwerach firmy, nad którą placówka nie ma żadnej kontroli.
Więcej o ochronie danych w szerszym kontekście w naszym przewodniku po bezpieczeństwie danych i MFA w przedszkolu.
Co na to UODO? Stanowisko urzędu
Urząd Ochrony Danych Osobowych nie wydał dotąd decyzji skierowanej wprost przeciw przedszkolu za korzystanie z WhatsApp. Ale jego stanowisko jest jednoznaczne: placówki oświatowe powinny korzystać z narzędzi, które zapewniają zgodność z RODO.
W poradniku UODO dla szkół i placówek oświatowych urząd wskazuje, że komunikatory internetowe (WhatsApp, Messenger, Signal) to narzędzia, nad którymi szkoła nie ma kontroli. Informacje mogą trafić w niepowołane ręce. Placówka nie jest w stanie zapewnić ich bezpieczeństwa zgodnie z wymogami RODO.
W 2025 roku UODO zapowiedział kontrole sektorowe dotyczące przetwarzania danych dzieci, w tym ich wizerunku w internecie. Temat WhatsApp w przedszkolu a RODO może więc pojawić się podczas kontroli. Przedszkola są na celowniku.
Co to oznacza w praktyce? Jeśli podczas kontroli okaże się, że placówka komunikuje się z rodzicami przez WhatsApp i na grupach pojawiają się dane osobowe dzieci (imiona, informacje zdrowotne, zdjęcia), dyrektor może odpowiadać za naruszenie obowiązku zapewnienia odpowiednich środków technicznych ochrony danych.
Ile to kosztuje? UODO może nałożyć karę finansową, której wysokość zależy od skali naruszenia i typu placówki. Ale warto wyobrazić sobie to inaczej: jeden post na lokalnej grupie na Facebooku o tym, że „przedszkole X miało wyciek danych dzieci", i w przyszłym roku 10 miejsc pustych. Tego żadna kara administracyjna nie wyrówna.
Jakie dane osobowe wyciekają przez grupy WhatsApp
„Przecież to tylko grupa rodziców, nic tam nie wycieknie." Na typowej grupie WhatsApp przedszkola w ciągu jednego tygodnia pojawiają się:
- Imiona i nazwiska dzieci, przy okazji zastępstw, wycieczek, urodzin
- Informacje zdrowotne: alergie, leki, choroby (np. „Kacper ma ospę, proszę o ostrożność")
- Numery telefonów rodziców widoczne dla wszystkich członków grupy
- Zdjęcia dzieci z imprez, wycieczek i codziennych zajęć
- Upoważnienia do odbioru, czasem z numerami dokumentów
- Przypomnienia o płatnościach z numerami kont bankowych
To wszystko dane osobowe chronione RODO. A informacje zdrowotne dzieci? To dane szczególnej kategorii — wymagają jeszcze większej ostrożności. Tymczasem WhatsApp nie rozróżnia rozmowy między znajomymi od komunikacji placówki z rodzicami. Zero dodatkowych zabezpieczeń.
Tomek prowadzi sieć trzech żłobków w Trójmieście. Wychowawczyni wrzuciła na grupę zdjęcie z andrzejek — 15 dzieci w przebraniach. Nic nadzwyczajnego, prawda? Tyle że dwoje rodziców nie wyraziło zgody na publikację wizerunku. Zdjęcie zdążyło się zapisać na telefonach 20 osób. Jeden rodzic złożył oficjalną skargę. Tomek nie miał jak się obronić — w przedszkolu nie było żadnej procedury dotyczącej udostępniania zdjęć.
Warto sprawdzić, czy placówka jest gotowa na kontrolę UODO. Bezpłatne demo KidsTime pokazuje, jak wygląda komunikacja z rodzicami zgodna z RODO.
WhatsApp a dedykowana aplikacja: co je różni
„Ale WhatsApp jest szyfrowany, więc chyba jest bezpieczny?" Słyszymy to od dyrektorów regularnie. Tak, treść wiadomości jest szyfrowana. Ale szyfrowanie to nie to samo co kontrola nad danymi.
| Kryterium | Dedykowana aplikacja (np. KidsTime) | |
|---|---|---|
| Umowa powierzenia danych | Brak (Meta nie zawiera umów z placówkami) | Tak, część umowy z dostawcą |
| Serwery | USA + inne kraje poza EOG | UE (polskie lub europejskie) |
| Kontrola dostępu | Każdy na grupie widzi wszystko | Role i uprawnienia, wychowawca widzi swoją grupę |
| Usuwanie danych | Dyrektor nie może wymusić usunięcia z telefonów | Administrator kasuje dane z systemu centralnie |
| Archiwizacja | Brak (zależy od użytkowników) | Automatyczna, zgodna z wymogami prawnymi |
| Zgodność z RODO | Nie | Tak, z certyfikatem ISO |
| Kontrola wizerunku dzieci | Brak | Galeria z uprawnieniami, zdjęcia tylko dla uprawnionych rodziców |
Krótko mówiąc — WhatsApp nie powstał po to, żeby zarządzać danymi wrażliwymi dzieci. Dedykowana aplikacja do komunikacji z rodzicami została zaprojektowana z myślą o RODO od pierwszego dnia. To zasadnicza różnica.
Jak przejść z WhatsApp na bezpieczną komunikację z rodzicami
Marta prowadziła przedszkole w Lublinie i przez trzy lata korzystała z WhatsApp. „Gdy ogłosiłam rodzicom, że zamykamy grupę, jeden tata napisał na Facebooku, że zmuszamy do instalowania kolejnej apki. Ale po dwóch tygodniach? Cisza. Push z informacją, że dziecko dotarło bezpiecznie, zdjęcia z grupy widoczne tylko dla rodziców z danej grupy, płatności w jednym miejscu. Nikt nie wrócił do WhatsAppa."
Przejście wygląda tak:
- Wybierz narzędzie. Szukaj aplikacji dedykowanej dla przedszkoli, z umową powierzenia danych i serwerami w UE.
- Skonfiguruj konta. W KidsTime trwa to jeden dzień. Każdy rodzic dostaje zaproszenie na email lub SMS.
- Poinformuj rodziców. Wyjaśnij, dlaczego zmiana jest konieczna. Powołaj się na RODO i bezpieczeństwo danych ich dzieci. Większość rodziców to rozumie i docenia.
- Zamknij grupę WhatsApp. Nie od razu. Warto dać rodzicom 1-2 tygodnie na adaptację, zanim stary kanał zostanie wyłączony.
- Zacznij korzystać. Ogłoszenia, chat, galeria zdjęć, powiadomienia push. Wszystko w jednej aplikacji.
W KidsTime wdrożenie komunikacji z rodzicami zajmuje mniej niż 24 godziny. Dedykowany opiekun przeprowadzi przez cały proces. Sprawdź, jak działa moduł komunikacji.
Czego nie wolno wysyłać przez WhatsApp? Lista kontrolna
Nawet bez natychmiastowej zmiany warto wydrukować tę listę i powiesić ją w pokoju nauczycielskim:
Nigdy nie wysyłaj przez WhatsApp:
- Zdjęć dzieci (nawet za zgodą rodziców, bo grupa to niekontrolowany kanał)
- Informacji o stanie zdrowia dziecka (alergie, leki, choroby)
- Danych identyfikacyjnych (PESEL, numery dokumentów)
- Upoważnień do odbioru dziecka
- Informacji o zaległościach w płatnościach
- Skanów dokumentów (umowy, zgody)
Można, ale z ostrożnością:
- Ogólne ogłoszenia organizacyjne (np. zmiana godzin otwarcia)
- Przypomnienia o wydarzeniach (bez danych personalnych)
Ta lista to minimum. Rekomendacja UODO jest jasna: najlepszym rozwiązaniem jest przejście na dedykowane narzędzie zgodne z RODO. Warto zobaczyć, jak wygląda komunikacja z rodzicami w przedszkolu bez WhatsApp — wszystkie funkcje KidsTime lub cennik.
Najczęstsze pytania o WhatsApp w przedszkolu a RODO
Czy przedszkole może używać WhatsApp do komunikacji z rodzicami?
Formalnie nie. Przepisy nie zabraniają WhatsApp wprost, ale RODO wymaga od przedszkola zapewnienia odpowiednich środków ochrony danych. WhatsApp tych warunków nie spełnia: brak umowy powierzenia, brak kontroli nad danymi, serwery poza UE. W praktyce korzystanie z WhatsApp do wymiany danych osobowych dzieci naraża placówkę na zarzut naruszenia RODO.
Czy zgoda rodziców wystarczy, żeby używać WhatsApp?
Nie. Zgoda rodziców na komunikację przez WhatsApp nie zwalnia przedszkola z obowiązku zapewnienia bezpieczeństwa danych. UODO wyjaśnia, że nawet przy zgodzie placówka musi spełnić wymogi techniczne i organizacyjne. WhatsApp nie pozwala na zawarcie umowy powierzenia danych, co jest wymogiem RODO przy korzystaniu z zewnętrznych narzędzi.
A co z Messengerem i Signalem?
Mają te same problemy. Messenger (Meta) nie oferuje umowy powierzenia i przechowuje dane poza UE. Signal jest bezpieczniejszy pod kątem szyfrowania, ale również nie daje placówkom kontroli nad danymi. Żaden z tych komunikatorów nie pozwala dyrektorowi decydować, kto widzi dane, kto je zapisuje i kto je przesyła dalej. Ten problem dotyczy całej kategorii darmowych komunikatorów.
Co grozi za korzystanie z WhatsApp w przedszkolu?
Samo korzystanie z WhatsApp nie jest karalne, ale gdy przedszkole przetwarza dane osobowe dzieci bez odpowiednich zabezpieczeń, UODO może nałożyć karę finansową za brak odpowiednich środków technicznych ochrony danych. Wysokość kary zależy od skali naruszenia i typu placówki. Odpowiedzialność ponosi dyrektor.
Podsumowanie
WhatsApp w przedszkolu a RODO — to nie jest temat, który można odłożyć na później. Wygoda nie zwalnia z odpowiedzialności za dane dzieci.
Brak umowy powierzenia, brak kontroli nad danymi, serwery poza UE — WhatsApp po prostu nie spełnia wymogów RODO dla placówek oświatowych. Na grupach codziennie pojawiają się dane osobowe dzieci, informacje zdrowotne, zdjęcia. Każde takie udostępnienie to potencjalne naruszenie. UODO zapowiedział kontrole. Zgoda rodziców nie wystarczy. Przedszkole musi zapewnić odpowiednie środki techniczne, a przejście na dedykowaną aplikację zajmuje jeden dzień i eliminuje ryzyko.
Rodzice powierzają placówce to, co mają najcenniejsze. Komunikacja o ich dzieciach powinna odbywać się w narzędziu, które traktuje ochronę danych równie poważnie, jak placówka traktuje bezpieczeństwo na placu zabaw. Więcej o KidsTime lub bezpłatny okres próbny przez 14 dni, bez karty kredytowej, bez zobowiązań.