Jak platforma z Poznania uniknęła kary 43 000 zł od kuratorium

Kontrola, która mogła skończyć się bankructwem małej firmy

Wszystko zaczęło się od rutynowego sprawdzenia dokumentacji w jednej z poznańskich szkół podstawowych, która korzystała z zewnętrznego systemu do nauki matematyki. Urzędnicy z kuratorium, zamiast skupić się na tym, czy dzieci faktycznie lepiej liczą, wzięli pod lupę techniczne aspekty logowania do platformy. Znaleźli lukę w sposobie przechowywania sesji użytkownika, co zinterpretowali jako rażące naruszenie ochrony danych osobowych uczniów. Dla firmy z Poznania, która zatrudnia wtedy 14 osób i dopiero wychodzi na prostą po inwestycjach w serwery, kara w wysokości 43 185 PLN była wyrokiem śmierci na ich płynność finansową w czwartym kwartale.

Przepisy to nasza działka, więc od razu wiedzieliśmy, że interpretacja urzędu jest zbyt sztywna i nie bierze pod uwagę specyfiki nowoczesnych systemów chmurowych. W Sgela Education Advocacy nie zajmujemy się filozofowaniem o prawie, tylko szukamy luk w urzędniczym myśleniu. Przeanalizowaliśmy 17 podobnych spraw z ostatnich 11 miesięcy i zauważyliśmy, że w trzech innych województwach to samo logowanie uznano za całkowicie bezpieczne. To był nasz punkt zaczepienia. Urzędnik w Poznaniu nie może karać za coś, co urzędnik w Lublinie czy Rzeszowie uznaje za standard.

Piotr Wiśniewski, nasz analityk prawny, spędził 19 godzin na analizowaniu logów systemowych klienta razem z programistami z krakowskiego software house'u, który ten system budował. Musieliśmy mieć twarde dowody, że dane są chronione lepiej niż w samym systemie ministerstwa, zanim w ogóle zaczęliśmy pisać jakiekolwiek odwołanie. Wiedzieliśmy, że mamy tylko jedną szansę na zablokowanie tej decyzji, zanim wejdzie ona do obrotu prawnego i zablokuje konta firmy.

Urzędnik nie musi znać się na kodzie, ale musi rozumieć, że technologia idzie szybciej niż jego instrukcje z 2019 roku.

Dlaczego urzędnicy czytają te same przepisy na różne sposoby?

Problem polegał na tym, że artykuł 14 rozporządzenia z marca 2023 roku jest napisany tak mętnym językiem, że każdy kurator może go rozumieć po swojemu. W Sgela Education Advocacy nie bawimy się w pisanie opasłych tomów teorii, które nikogo nie interesują. Kładziemy kawę na ławę: system był bezpieczny, tylko urzędnik nie rozumiał technologii tokenów JWT. Zamiast słać kolejne pisma, które utknęłyby w segregatorach na 3 miesiące, przygotowaliśmy konkretne zestawienie techniczne w formie tabeli, gdzie po jednej stronie był przepis, a po drugiej dowód z bazy danych.

Nasze doświadczenie z 423 klientami obsłużonymi od 2016 roku pokazuje, że urzędy boją się konfrontacji z kimś, kto ma twardsze dane niż oni. W tym konkretnym przypadku z Poznania, kuratorium oparło swoją decyzję na opinii jednego biegłego, który ostatni kurs z cyberbezpieczeństwa robił w 2014 roku. To była nasza przewaga. Wykazaliśmy 7 błędów logicznych w jego ocenie, co natychmiast postawiło całe postępowanie pod znakiem zapytania. Nie atakowaliśmy człowieka, tylko punktowaliśmy brak aktualnej wiedzy technicznej, co w tej branży jest kluczowe.

W połowie października sytuacja stała się napięta, bo termin zapłaty kary zbliżał się nieubłaganie. Musieliśmy działać dwutorowo: formalne odwołanie do wyższej instancji oraz bezpośrednie zapytanie do departamentu w Warszawie. Wiemy, kto odbiera telefony w ministerstwie i kto realnie podejmuje decyzje o wiążących interpretacjach. Bez zbędnego gadania o wizji, przedstawiliśmy sprawę jako problem systemowy, który może uderzyć w setki innych szkół korzystających z podobnych rozwiązań w całym kraju.

74 minuty w Warszawie, które uratowały budżet platformy

Zamiast czekać na wyrok sądu administracyjnego, co trwa w Polsce średnio 514 dni, pojechaliśmy prosto do stolicy. Nasze spotkanie w departamencie cyfryzacji edukacji trwało dokładnie 74 minuty. Pokazaliśmy, że kara dla poznańskiej platformy uderzy bezpośrednio w 3 420 uczniów, którzy z dnia na dzień stracą dostęp do materiałów przed egzaminami próbnymi. Argument o dobru ucznia połączony z twardymi danymi o szyfrowaniu danych (AES-256) zadziałał lepiej niż jakiekolwiek prośby o litość. Urzędnicy w ministerstwie przyznali nam rację, że kuratorium w Poznaniu zbyt restrykcyjnie podeszło do interpretacji nowej normy.

Efekt był błyskawiczny. Cztery dni później do kuratorium w Poznaniu wpłynęła opinia wyjaśniająca z góry. Nie była to sugestia, ale jasna instrukcja, jak należy interpretować artykuł 14 w kontekście nowoczesnych metod logowania. To była wygrana nie tylko dla naszego klienta, ale dla całego sektora EdTech. W Sgela Education Advocacy wierzymy, że jedna wygrana bitwa potrafi zmienić zasady wojny dla wszystkich. Dzięki temu interwencja ta pomogła 47 innym firmom, które miały podobne systemy, ale jeszcze nie zostały skontrolowane.

Po powrocie do naszego biura w Lublinie przy ul. Grodzkiej 4, przygotowaliśmy dla klienta nowy regulamin techniczny, który jest 'odporny na urzędnika'. Skróciliśmy czas potrzebny na logowanie o 1.4 sekundy, jednocześnie podnosząc poziom bezpieczeństwa tak, by żaden kontroler nie miał się do czego przyczepić. Klient zapłacił nam ułamek kwoty kary, a zaoszczędzone 43 185 PLN zainwestował w rozwój modułu do nauki fizyki. Tak rozumiemy skuteczne wsparcie biznesu.

Jakie lekcje płyną z tej sprawy dla innych szkół i firm?

Najważniejszy wniosek jest taki: nigdy nie przyjmuj mandatu ani kary od kuratorium bez walki, jeśli wiesz, że Twoja technologia działa poprawnie. Urzędnicy często operują na starych wytycznych, które nie przystają do dzisiejszego kodu. Od początku 2024 roku mieliśmy już 47 wygranych spraw tego typu. Średni czas potrzebny na uchylenie błędnej decyzji to w naszym wykonaniu 11 dni roboczych, o ile wejdziemy do gry na etapie protokołu, a nie prawomocnej decyzji.

Warto też dbać o to, by dokumentacja techniczna była pisana językiem zrozumiałym dla laika, ale z mocnymi odnośnikami do norm ISO. My w Sgela Education Advocacy pomagamy 'tłumaczyć' język programistów na język urzędowy, co zazwyczaj ucina 84.6% pytań podczas kontroli. Nie czekaj, aż zapukają do Ciebie z Poznania czy Lublina. Sprawdź swoje systemy teraz, bo średni koszt dostosowania platformy jest 9-krotnie niższy niż najniższa kara przewidziana w nowym taryfikatorze.

Dziś ten klient z Poznania obsługuje już 217 szkół i śpi spokojnie. Nasza współpraca nie skończyła się na tej jednej sprawie; teraz co kwartał audytujemy ich zmiany w kodzie pod kątem prawnym. To jest właśnie to, co nazywamy skutecznym głosem w ministerstwie – nie tylko gaszenie pożarów, ale budowanie ochrony, która pozwala się rozwijać bez strachu przed kolejnym listem z urzędu. Jeśli masz podobny problem, zapraszamy na kawę do Lublina, położymy ją na ławę i powiemy Ci szczerze, jakie masz szanse.

Skuteczny lobbying to nie kolacje z politykami, to 19 godzin analizy logów, by udowodnić urzędnikowi błąd w jego własnym przepisie.