Zgodność EdTech z przepisami w 2026 r. – wyjaśnienie wymagań FERPA, COPPA i SOC2

W 2026 roku zgodność regulacyjna w sektorze EdTech nie jest już elementem przewagi konkurencyjnej. Stała się warunkiem dalszego funkcjonowania na rynku edukacyjnym. Szkoły, dystrykty i instytucje publiczne coraz częściej eliminują dostawców technologii edukacyjnych już na etapie wstępnej selekcji, jeżeli ci nie spełniają jasno określonych wymogów prawnych i bezpieczeństwa danych. W praktyce oznacza to konieczność jednoczesnego uwzględnienia przepisów FERPA, COPPA oraz udokumentowania dojrzałości procesów bezpieczeństwa, najczęściej poprzez audyt SOC 2.

Zmiana ta nie jest przypadkowa. Narzędzia EdTech przestały pełnić wyłącznie funkcję cyfrowych podręczników czy prostych platform komunikacyjnych. Współczesne systemy edukacyjne gromadzą i analizują znacznie bardziej złożone dane, obejmujące wyniki ankiet, postępy w nauce, wzorce zachowań, a w niektórych przypadkach także dane wykorzystywane do prognozowania wyników całych klas lub pojedynczych uczniów. Skala oraz wrażliwość tych informacji sprawiły, że prywatność uczniów stała się jednym z kluczowych obszarów zainteresowania regulatorów.

FERPA jako fundament ochrony danych uczniów

Podstawą systemu ochrony danych uczniów w Stanach Zjednoczonych pozostaje FERPA, czyli Family Educational Rights and Privacy Act. Jest to federalne prawo regulujące zasady przetwarzania tzw. dokumentacji edukacyjnej, rozumianej jako informacje bezpośrednio związane z uczniem, które są przechowywane przez instytucję edukacyjną lub podmiot działający w jej imieniu.

FERPA przyznaje rodzicom oraz pełnoletnim uczniom jasno określone prawa. Obejmują one możliwość wglądu do danych, żądania ich sprostowania oraz ograniczenia dalszego udostępniania. Choć przepisy te formalnie obowiązują instytucje edukacyjne korzystające z funduszy federalnych, w praktyce ich skutki rozciągają się również na dostawców technologii edukacyjnych. Każdy vendor, który otrzymuje dostęp do danych uczniów, staje się bowiem częścią łańcucha odpowiedzialności.

Kluczowym mechanizmem umożliwiającym legalne udostępnianie danych dostawcom EdTech jest tzw. school official exception. Pozwala on szkole przekazać dane zewnętrznemu podmiotowi pod warunkiem, że realizuje on zadania, które w innym przypadku wykonywaliby pracownicy szkoły, pozostaje pod jej bezpośrednią kontrolą w zakresie wykorzystania danych oraz ogranicza ich użycie wyłącznie do celów edukacyjnych. W praktyce oznacza to, że bez precyzyjnej umowy przetwarzania danych nie istnieje pojęcie domniemanej zgodności z FERPA.

COPPA i ochrona danych dzieci poniżej 13 roku życia

Na ten fundament nakłada się COPPA, czyli Children’s Online Privacy Protection Act, regulująca sposób zbierania danych osobowych dzieci poniżej 13 roku życia w usługach online. Przepisy te dotyczą komercyjnych operatorów, którzy kierują swoje produkty do młodszych użytkowników lub świadomie gromadzą ich dane.

COPPA opiera się na modelu powiadomienia i weryfikowalnej zgody rodzicielskiej. Zanim dane dziecka zostaną zebrane, rodzic musi otrzymać jasną informację o zakresie przetwarzania oraz wyrazić możliwą do potwierdzenia zgodę. Dodatkowo operator jest zobowiązany do zapewnienia bezpieczeństwa informacji oraz umożliwienia rodzicom dostępu do danych i ich usunięcia.

W środowisku edukacyjnym COPPA bardzo często funkcjonuje równolegle z FERPA. W rezultacie szkoły i dostawcy EdTech muszą jasno określić, jakie dane podlegają ochronie na gruncie każdego z tych aktów prawnych oraz kto odpowiada za realizację poszczególnych obowiązków. Brak takiego podziału odpowiedzialności prowadzi do luk zgodności, które stają się widoczne dopiero w trakcie audytu lub incydentu.

Prawo stanowe i rosnąca złożoność compliance

Sytuację dodatkowo komplikuje fakt, że obok prawa federalnego funkcjonuje rozbudowany system przepisów stanowych. Wiele z nich bazuje na kalifornijskim SOPIPA oraz regulacjach AB 1584, które wprowadzają szczegółowe wymogi kontraktowe i ograniczenia dotyczące wykorzystania danych uczniów.

W praktyce oznacza to zakaz sprzedaży danych, reklamy i profilowania w celach innych niż edukacyjne, a także obowiązek stosowania adekwatnych zabezpieczeń technicznych oraz usuwania danych na żądanie szkoły. Do 2026 roku w niemal wszystkich stanach USA pojawiły się inicjatywy ustawodawcze dotyczące prywatności uczniów, co sprawia, że dostawcy EdTech muszą projektować swoje rozwiązania z myślą o wielu reżimach prawnych jednocześnie.

SOC 2 jako dowód dojrzałości organizacyjnej

W tym kontekście coraz większą rolę odgrywa SOC 2. Nie jest to regulacja prawna, lecz niezależny audyt, który weryfikuje, czy organizacja rzeczywiście stosuje skuteczne mechanizmy ochrony danych. Framework ten ocenia między innymi bezpieczeństwo, poufność i integralność przetwarzania informacji.

Szczególnie istotny stał się SOC 2 Type II, który bada nie tylko istnienie procedur, lecz także ich faktyczne działanie w określonym okresie. Dla szkół i dystryktów raport ten stanowi obiektywny dowód, że dostawca traktuje bezpieczeństwo danych poważnie. Dla vendorów jest to z kolei sposób na skrócenie procesów zakupowych, obniżenie kosztów ubezpieczenia cybernetycznego i zwiększenie zaufania klientów instytucjonalnych.

SOC 2+ w EdTech: rozszerzenie SOC 2 poza Privacy o COPPA lub FERPA

SOC 2 jest często wykorzystywany jako dowód do procesów zakupowych i oceny dostawców, ale sam w sobie nie stanowi certyfikatu zgodności prawnej z FERPA czy COPPA. Gdy klienci oczekują dowodów dopasowanych do konkretnych regulacji lub frameworków, wiele service organization stosuje podejście rynkowo określane jako SOC 2+.

W praktyce SOC 2+ oznacza badanie SOC 2, które dodatkowo obejmuje dodatkowy przedmiot badania i/lub dodatkowe kryteria poza Trust Services Criteria. Dzięki temu raport SOC 2 pozostaje rdzeniem zapewnienia (zwykle Security oraz – jeśli adekwatne – Privacy), a jednocześnie jego zakres może zostać rozszerzony o wymagania wynikające z oczekiwań klientów końcowych lub strategii samego dostawcy, np. COPPA lub FERPA, poprzez mapowanie wymogów i audytowalne oczekiwania kontrolne.

W EdTech wybór komponentu „plus” zależy od umów, wymogów procurementowych oraz modelu operacyjnego usługi:

• SOC 2+ pod COPPA jest najbardziej zasadne, gdy usługa jest kierowana do dzieci poniżej 13 roku życia lub gdy dostawca świadomie pozyskuje ich dane, a kluczowe stają się procesy notice/consent, minimalizacja danych, retencja i usuwanie, prawa dostępu oraz ograniczenia użycia danych do celów nieedukacyjnych lub komercyjnych.

• SOC 2+ pod FERPA jest najbardziej zasadne, gdy vendor przetwarza education records w imieniu szkół i musi wspierać warunki ujawnień po stronie szkoły, w tym ograniczenia celu (legitimate educational interest), direct control nad użyciem i utrzymaniem danych oraz ograniczenia dalszego udostępniania (re-disclosure).

Wartość SOC 2+ jest praktyczna: zamiast odpowiadać na rozproszone ankiety i wykonywać „jednorazowe” potwierdzenia zgodności, organizacja może przedstawić jeden raport, który łączy skuteczność kontroli SOC 2 z ukierunkowanym, zrozumiałym dla klienta potwierdzeniem dopasowania do wymogów FERPA lub COPPA—o ile dodatkowe kryteria zostaną opisane na tyle precyzyjnie, aby były audytowalne.

Umowa jako centrum całego systemu zgodności

Wspólnym mianownikiem dla FERPA, COPPA i prawa stanowego pozostaje umowa zawierana pomiędzy szkołą a dostawcą EdTech. To właśnie ona materializuje wymogi prawne i przekłada je na konkretne obowiązki operacyjne.

Coraz częściej standardem rynkowym staje się weryfikacja zestawu kluczowych klauzul, obejmujących między innymi jednoznaczne określenie własności danych po stronie szkoły, zakaz ich wykorzystywania do celów marketingowych, jasno opisane procedury usuwania informacji po zakończeniu współpracy, precyzyjne terminy zgłaszania naruszeń oraz prawo audytu. Brak któregokolwiek z tych elementów coraz częściej prowadzi do automatycznego odrzucenia oferty.

Skala problemu po stronie szkół

Z perspektywy instytucji edukacyjnych wyzwaniem pozostaje skala. Przeciętny dystrykt korzysta dziś z kilkuset narzędzi EdTech, z czego znaczna część została wdrożona oddolnie przez nauczycieli lub poszczególne wydziały. Taki model prowadzi do utraty kontroli nad umowami, terminami ich obowiązywania oraz zakresem dostępu do danych uczniów.

Odpowiedzią na ten problem stają się wyspecjalizowane platformy do zarządzania umowami prywatności. Umożliwiają one centralne gromadzenie dokumentów, monitorowanie zgodności, ocenę ryzyka oraz szybkie przygotowanie dokumentacji na potrzeby audytów lub kontroli regulatorów.

Compliance jako proces ciągły

W 2026 roku oczekiwania compliance wobec EdTech są coraz częściej kształtowane przez trzy nakładające się warstwy: zasady FERPA dotyczące education records, reżim COPPA dla danych dzieci poniżej 13 roku życia oraz rosnącą mozaikę przepisów stanowych dotyczących prywatności uczniów. FERPA określa, jak należy traktować education records i kiedy szkoły mogą je udostępniać dostawcom, co w praktyce wymaga od vendorów jasnych ograniczeń celu przetwarzania, udokumentowanych kontroli oraz wykazywalnego nadzoru szkoły tam, gdzie ma to zastosowanie. COPPA dodaje model notice/consent dla danych dzieci <13, obejmujący silne wymogi dotyczące praw rodziców, bezpieczeństwa, retencji i usuwania danych, z istotnymi niuansami K–12 dotyczącymi tego, kiedy szkoła może uczestniczyć w procesie zgody wyłącznie w kontekście edukacyjnym.

SOC 2 Type II stał się dominującym mechanizmem wykazywania, że kontrole działają skutecznie w czasie, ale nie stanowi automatycznego dowodu zgodności prawnej z FERPA czy COPPA. Tę lukę często adresuje podejście SOC 2+—czyli SOC 2 rozszerzony o dodatkowe kryteria dopasowane do konkretnej regulacji lub frameworku. W EdTech pozwala to zachować SOC 2 jako rdzeń zapewnienia, a jednocześnie dołożyć audytowalne potwierdzenie dopasowania do wymogów COPPA lub FERPA, wynikające z oczekiwań klientów końcowych lub z potrzeby wykazania dojrzałości w środowisku regulowanym.

Wniosek operacyjny jest jednoznaczny: compliance działa, gdy umowy, projekt kontroli i wytwarzanie dowodów są elementami jednego, spójnego systemu. Gdy organizacja opiera się na generycznych politykach, niejasnych rolach i twierdzeniach, których nie da się przetestować, niespójność ujawnia się w vendor screeningu, audycie albo po incydencie. Organizacje, które traktują obowiązki regulacyjne, kontrole operacyjne i raportowanie assurance jako wzajemnie wzmacniające się warstwy, ograniczają tarcia procurementowe, poprawiają wyniki audytów i budują trwałe zaufanie partnerów edukacyjnych.