GDPR за училища и образователни институции — ръководство
Кратък отговор: Училищата са администратори на лични данни по смисъла на GDPR и носят пълна отговорност за защитата на данните на ученици, родители и служители. Те обработват данни основно на основание законово задължение (ЗПУО) и обществен интерес, а не на основание съгласие. За снимки, маркетинг и непоискани дейности обаче е необходимо съгласие от родителите. Видеонаблюдение в класни стаи е забранено от КЗЛД.
Съдържание
- Училището като администратор на лични данни
- Какви видове лични данни обработват училищата
- Правни основания за обработка в образованието
- Кога е необходимо съгласие от родителите
- Електронни дневници и образователни платформи
- Видеонаблюдение в училище
- Снимки и видеозаписи от училищни събития
- Срокове за съхранение на ученически данни
- DPIA при въвеждане на нова платформа
- Теч на данни — какво да направи училището
- Често задавани въпроси
Училищата обработват значителен обем лични данни, включително на една от най-уязвимите категории субекти: децата. Въпреки това много образователни институции в България все още нямат ясна представа за задълженията си по GDPR. Тази статия е практическо ръководство за директори, учители, ДЛЗД и администрации на училища и детски градини, с конкретни примери и решения от българската практика.
Училището като администратор на лични данни
По смисъла на GDPR училището (юридическото лице) е администратор на лични данни. Това означава, че именно училището, а не Министерството на образованието и не доставчикът на електронен дневник, определя целите и средствата за обработване и носи основната отговорност.
Като администратор, училището е длъжно да:
- Поддържа ROPA (регистър на дейностите по обработване)
- Осигури информация по чл. 13 GDPR на ученици, родители и служители
- Сключи договори с обработващите (чл. 28 GDPR) — електронен дневник, хостинг, облачни платформи
- Назначи ДЛЗД (длъжностно лице по защита на данните), ако обработва данни в голям мащаб или чувствителни данни
- Прилага подходящи технически и организационни мерки за защита
Важно: Много училища в България използват Shkolo.bg, Google Classroom или Microsoft Teams, без да са сключили договор за обработка на данни (DPA) с доставчика. Това е нарушение на чл. 28 GDPR, което само по себе си може да доведе до глоба до 10 млн. евро (около 19,5 млн. лв.).
Какви видове лични данни обработват училищата
Обемът и чувствителността на данните, обработвани от училищата, са значителни и не се ограничават само до имена и оценки:
| Категория | Примерни данни | Чувствителни ли са |
|---|---|---|
| Идентификация | Три имена, ЕГН, дата на раждане, адрес, телефон на родител | Не (обикновени) |
| Образователни записи | Оценки, присъствие, дисциплинарни нарушения, протоколи от педагогически съвет | Не (обикновени) |
| Здравни данни | Алергии, хронични заболявания, увреждания, медицински удостоверения, ваксинационен статус | Да (чл. 9) |
| Семейни данни | Развод и попечителство, социален статус, доходи (за социални помощи) | Частично |
| Етнически/религиозни | Етническа принадлежност (при интеграционни програми), религиозно образование | Да (чл. 9) |
| Визуални данни | Снимки и видеозаписи от събития, CCTV, снимки в ученическа книжка | Не (обикновено) |
| Дигитални данни | Училищен имейл, логове от е-платформи, IP адреси при достъп | Не (обикновени) |
| Данни за СОП | Специални образователни потребности, психологически оценки, ресурсна подкрепа | Да (чл. 9) |
Съображение 38 GDPR: „Децата заслужават специална защита на личните си данни, тъй като те могат да бъдат по-малко наясно със съществуващите рискове, последици и гаранции, както и с правата си." Това означава, че училищата трябва да прилагат по-високи стандарти на защита.
Правни основания за обработка в образованието
За разлика от широко разпространеното схващане, съгласието не е основното правно основание за обработка на данни в училищата. За повечето дейности са приложими други основания:
| Дейност | Правно основание | Правна норма |
|---|---|---|
| Записване на ученици, водене на дневници, протоколи | Законово задължение — чл. 6(1)(c) | ЗПУО, Наредба за организация на дейностите в училищното образование |
| Провеждане на изпити и оценяване | Обществен интерес — чл. 6(1)(e) | ЗПУО, Наредба за оценяване |
| Издаване на дипломи и удостоверения | Законово задължение — чл. 6(1)(c) | ЗПУО |
| Здравен кабинет, обработка на здравни данни | Законово задължение — чл. 6(1)(c) + чл. 9(2)(h) | Закон за здравето, Наредба за здравните кабинети |
| Специални образователни потребности (СОП) | Законово задължение — чл. 6(1)(c) + чл. 9(2)(g) | Наредба за приобщаващото образование |
| Видеонаблюдение на входове и двор | Легитимен интерес — чл. 6(1)(f) | Защита на безопасността, документирано чрез LIA |
| Снимки за сайта на училището | Съгласие — чл. 6(1)(a) | Не е задължително по закон, реален избор е възможен |
| Участие в състезания и олимпиади | Съгласие — чл. 6(1)(a) или обществен интерес — чл. 6(1)(e) | Зависи от организатора и характера на дейността |
Често срещана грешка: Много училища искат съгласие от родителите за всяка обработка, включително за записване на ученика и водене на дневник. Това е неправилно: тези дейности са законово задължение по ЗПУО. Искането на съгласие за тях създава погрешно впечатление, че родителят може да откаже, което не е така при задължително образование.
Кога е необходимо съгласие от родителите
Съгласие е необходимо само за дейности, които не са предвидени в закон и при които родителят (или ученикът, ако е навършил 14 г.) има реален избор:
- ✓ Публикуване на снимки и видеозаписи от събития на сайта или в социалните мрежи на училището
- ✓ Участие в извънкласни дейности, които изискват допълнителни данни
- ✓ Изпращане на маркетингови съобщения от името на училището
- ✓ Предаване на данни на спонсори или партньорски организации
- ✓ Регистрация на ученика в незадължителна онлайн платформа
- ✗ Съгласие за записване на ученика и водене на дневник (законово задължение)
- ✗ Съгласие за подаване на данни към МОН/РУО (законово задължение)
- ✗ Съгласие за обработка на данни за здравен кабинет (законово задължение)
- ✗ Съгласие за провеждане на изпити (обществен интерес)
Форма на съгласие от родителя
Когато съгласие е необходимо, то трябва да отговаря на всички изисквания по чл. 7 GDPR:
- Конкретна и разбираема формулировка
- Посочване на целта, данните и получателите
- Информация за правото на оттегляне
- Отделна декларация за всяка отделна цел (не общо „за всичко")
- Подпис на родителя/настойника (за деца под 14 г.)
Нуждаете се от образци на декларации за съгласие за Вашето училище?
- Декларация за съгласие за снимки и видео
- Информация по чл. 13 GDPR за родители и ученици
- Вътрешни правила за защита на личните данни
Електронни дневници и образователни платформи
Законът за предучилищното и училищното образование (ЗПУО) изисква водене на електронни дневници. На практика повечето училища в България използват Shkolo.bg, като алтернативи са Google Classroom, Microsoft Teams и Школо дневник.
Правни задължения на училището
| Задължение | Какво означава | Правна основа |
|---|---|---|
| Сключване на DPA | Писмен договор за обработка на данни с доставчика на платформата | Чл. 28 GDPR |
| Проверка на подизпълнители | Кои подизпълнители използва платформата (хостинг, cloud, analytics) | Чл. 28(2) GDPR |
| Трансфери извън ЕИП | Дали данните се съхраняват или обработват в САЩ или друга трета държава | Чл. 44-49 GDPR |
| Мерки за сигурност | Криптиране, контрол на достъпа, логове | Чл. 32 GDPR |
| DPIA | Оценка на въздействието при въвеждане на нова платформа с данни на деца | Чл. 35 GDPR |
Google Classroom и Microsoft Teams
При използване на платформи на Google или Microsoft за образователни цели:
- Училището е администратор, а Google/Microsoft е обработващ
- И двете компании предоставят DPA (Google Workspace for Education Data Processing Amendment; Microsoft DPA)
- Училището трябва да провери дали DPA е подписано и дали администраторският акаунт е коректно конфигуриран
- Данните на учениците се съхраняват в ЕС центрове за данни (ако е избрано правилно)
- Трансферът към САЩ е покрит от EU-US DPF (Data Privacy Framework), но се препоръчват SCCs като резервен механизъм
Практически съвет: Изисквайте от Google/Microsoft потвърждение, че данните се съхраняват в ЕС. Активирайте настройката за Data Region в Google Workspace for Education. Забранете допълнителните услуги (Additional Services) на Google, които нямат образователна цел.
Shkolo.bg
Shkolo е най-разпространената платформа за електронен дневник в България. Като български доставчик данните обикновено се съхраняват на територията на ЕС. Независимо от това:
- Училището трябва да има подписан DPA с Shkolo
- Проверете какви подизпълнители използва Shkolo (хостинг, analytics)
- Уверете се, че достъпът до системата е с двуфакторна автентикация
- Ограничете достъпа на учители само до техните класове
Видеонаблюдение в училище
Видеонаблюдението в училищата е чувствителна тема, тъй като засяга данни на деца. Позицията на КЗЛД е ясна:
- ✓ Допустимо: входове на сградата, училищен двор, паркинг
- ✓ Допустимо: коридори (с ограничения)
- ✓ Допустимо: столова (само входна зона)
- ✗ Забранено: класни стаи (КЗЛД позиция — непропорционално)
- ✗ Забранено: тоалетни и съблекални
- ✗ Забранено: учителска стая (без съгласие на учителите)
- ✗ Забранено: аудиозаписи (подслушване)
Изисквания за законосъобразно видеонаблюдение
- Правно основание: Легитимен интерес (чл. 6(1)(f)), документиран чрез LIA
- Информационни табели на видими места преди зоните на наблюдение
- Срок на съхранение: не повече от 30 дни (освен при конкретен инцидент, за който записът е нужен)
- Ограничен достъп: само директор и определени лица имат достъп до записите
- Информация по чл. 13: уведомление за поверителност за видеонаблюдение, достъпно за родители и служители
- Физическа защита: записващото устройство е в заключено помещение
КЗЛД позиция: Камери в класните стаи са непропорционални на целта за сигурност. Присъствието на учител е достатъчна мярка за безопасност в класната стая. Видеонаблюдението в учебни помещения нарушава правото на личен живот на учениците и учителите и създава натиск, несъвместим с образователния процес.
Снимки и видеозаписи от училищни събития
Снимките от тържества, екскурзии, спортни дни и други събития са честа практика. GDPR изисква:
За публикуване на сайта/социалните мрежи на училището
- Правно основание: Съгласие (чл. 6(1)(a))
- Предварителна декларация от родителя/настойника (за деца под 14 г.)
- Ученици на 14+ г. могат да дадат съгласие сами за онлайн публикации (чл. 25в ЗЗЛД)
- Съгласието трябва да може да бъде оттеглено по всяко време, с последващо премахване на снимките
За вътрешни цели (албум, летопис)
- Може да се обоснове с легитимен интерес (документиране на образователния процес)
- Информация за родителите е необходима
- Родителят може да възрази по чл. 21
Снимки от други родители
Когато родител снима на училищно тържество и публикува снимки, на които се виждат други деца, GDPR не се прилага директно (лична/домашна дейност, чл. 2(2)(c)). Училището обаче може да информира родителите за етичните правила и да препоръча снимане само на собствените деца.
Срокове за съхранение на ученически данни
| Тип данни | Срок на съхранение | Правно основание за срока |
|---|---|---|
| Главни книги (дневници) | Постоянно (архивно съхранение) | ЗПУО, Наредба за документите |
| Протоколи от изпити | 5 години | Наредба за оценяване |
| Лични картони на ученици | 5 години след завършване/напускане | Наредба за документите |
| Здравни данни | До завършване + 3 години | Закон за здравето |
| CCTV записи | 30 дни | КЗЛД практика |
| Данни от е-платформи | До завършване (след това изтриване) | GDPR принцип за минимизиране |
| Снимки (съгласие) | До оттегляне на съгласието | Чл. 7(3) GDPR |
| Данни за СОП | 5 години след приключване на подкрепата | Наредба за приобщаващото образование |
DPIA при въвеждане на нова платформа
Чл. 35 GDPR изисква оценка на въздействието върху защитата на данните (DPIA) преди обработване, което може да доведе до висок риск за правата на субектите. При училищата DPIA е задължителна, когато:
- Се въвежда нова онлайн платформа за обработка на данни на деца
- Се въвежда видеонаблюдение
- Се обработват здравни данни или данни за СОП в цифров формат
- Се използва нова технология (биометрични системи за достъп, AI инструменти)
Два критерия от списъка на КЗЛД са достатъчни за задължителна DPIA: обработка на данни на деца + нови технологии, обработка на данни на деца + систематичен мониторинг, обработка на чувствителни данни + голям мащаб. Училищата попадат в тези критерии много по-често, отколкото осъзнават.
Теч на данни — какво да направи училището
При нарушение на сигурността на личните данни (теч на данни, неоторизиран достъп, загуба) училището трябва да действа по следния алгоритъм:
- Установете какво е станало: какви данни, колко субекта, какъв е механизмът
- Ограничете щетите: блокирайте достъпа, сменете пароли, изолирайте системата
- Уведомете КЗЛД в срок от 72 часа (освен ако нарушението не представлява риск за субектите)
- Уведомете родителите без ненужно забавяне, ако нарушението може да представлява висок риск (напр. теч на ЕГН, здравни данни или оценки)
- Документирайте всичко: какво се е случило, какви мерки са предприети, какъв е резултатът
Пример: Ако хакер получи достъп до електронния дневник и изтегли имена, ЕГН и оценки на учениците, това е нарушение, което трябва да бъде уведомено и на КЗЛД, и на родителите. Ако е загубен USB с класиране за олимпиада (без ЕГН), рискът е по-нисък и може да не изисква уведомяване на КЗЛД (но трябва да бъде документирано).
Практически чеклист за училища
- ✓ Поддържайте актуален ROPA (регистър на дейностите по обработване)
- ✓ Сключете DPA (чл. 28) с доставчиците на електронен дневник и облачни платформи
- ✓ Назначете ДЛЗД или използвайте външна услуга
- ✓ Изгответе уведомление за поверителност (чл. 13) за родители, ученици и служители
- ✓ Изгответе декларации за съгласие за снимки/видео
- ✓ Поставете информационни табели за видеонаблюдение
- ✓ Определете срокове за съхранение и процедура за изтриване
- ✓ Извършете DPIA при въвеждане на нова платформа
- ✓ Обучете учителите и административния персонал
- ✓ Изгответе процедура за реакция при теч на данни
Често задавани въпроси
На какво правно основание училищата обработват лични данни на ученици?
Основно на законово задължение (чл. 6(1)(c) GDPR), тъй като ЗПУО и подзаконовите наредби задължават училищата да водят дневници, протоколи, да подават данни към МОН/РУО. За образователния процес е приложим и обществен интерес (чл. 6(1)(e)). Съгласие е необходимо само за дейности, които не са предвидени в закон (снимки за сайта, маркетинг).
Необходимо ли е съгласие от родителите за всяка обработка в училище?
Не. За задължителните образователни дейности (записване, оценяване, водене на дневник) правното основание е законово задължение по ЗПУО, а не съгласие. Съгласие е необходимо само за доброволни дейности: публикуване на снимки, участие в нерегламентирани от закона дейности, маркетинг.
Може ли училището да снима децата за сайта си или социални мрежи?
Да, но само с предварително съгласие от родителя/настойника (за деца под 14 г.) или от самия ученик (за 14+ г.). Съгласието трябва да е конкретно (за каква цел, къде ще бъдат публикувани) и да може да бъде оттеглено по всяко време, с последващо премахване на снимките.
Какви правила важат за видеонаблюдение в училище?
Камерите са допустими на входове, двор, коридори и паркинг (на основание легитимен интерес с LIA). Камери в класни стаи, тоалетни и съблекални са забранени. Задължителни са информационни табели, срок на съхранение до 30 дни и ограничен достъп до записите.
Какъв договор трябва да има училището с платформата за е-обучение?
Договор за обработка на данни (DPA) по чл. 28 GDPR. Той трябва да включва: инструкции за обработка, мерки за сигурност, управление на подизпълнители, съдействие при искания от субекти, уведомяване при теч, изтриване/връщане на данни при прекратяване. Това важи за Shkolo, Google Classroom, Microsoft Teams и всяка друга платформа.
Колко дълго могат да се съхраняват ученическите досиета?
Зависи от вида данни. Главните книги (дневници) се пазят постоянно. Лични картони и протоколи от изпити се пазят 5 години след завършване. Здравни данни се пазят до завършване + 3 години. CCTV записи се пазят до 30 дни. Данните от е-платформи трябва да се изтрият след завършване на ученика.
Каква е отговорността на училището при теч на данни от Shkolo/Google Classroom?
Като администратор, училището носи основната отговорност. Трябва да уведоми КЗЛД в срок от 72 часа (чл. 33) и родителите без ненужно забавяне при висок риск (чл. 34). Обработващият (Shkolo, Google) е длъжен да уведоми училището незабавно и да съдейства. Глобите се налагат на училището, но то може да търси регресна отговорност от обработващия.
Трябва ли DPIA за въвеждане на нова образователна платформа?
В повечето случаи да. Обработка на данни на деца в комбинация с нова технология или голям мащаб попада в критериите на КЗЛД за задължителна DPIA. Препоръчваме DPIA преди въвеждане на всяка нова платформа, дори ако формално не е задължителна, тъй като тя помага за идентифициране на рискове и прилагане на адекватни мерки.
Нуждаете се от GDPR одит за Вашето училище?
- Пълен одит на съответствието с GDPR в образователната институция
- Изготвяне на ROPA, уведомления, декларации и вътрешни правила
- Преглед на договори с доставчици на е-платформи (DPA по чл. 28)
- Обучение на учители и административен персонал
- Външно ДЛЗД (DPO) за училища
Тази статия отразява правното положение към 26 март 2026 г. Информацията е с информативен характер и не представлява правна консултация. За конкретни въпроси относно Вашата образователна институция се обърнете към квалифициран специалист по защита на личните данни.
Получавайте нови статии директно в пощата си
Практически анализи по GDPR и киберсигурност. Без спам.
Можете да се отпишете по всяко време. Политика за поверителност
Адв. Димитрова е CIPP/E сертифициран специалист по защита на лични данни с дългогодишен опит в правото на ЕС. Адв. Чолаков е експерт по GDPR съответствие, международни трансфери на данни и whistleblowing. Заедно консултират над 90 компании за пълно GDPR съответствие.