Ghid practic privind protecția datelor în unitățile de învățământ1. Obligații generale
• Școala este operator de date (art. 4 RGPD).
• Prelucrează date despre: elevi, părinți, profesori, personal auxiliar.
• Are obligația să respecte principiile: legalitate, transparență, minimizare, exactitate, securitate, limitarea stocării.
2. Responsabilul cu protecția datelor (DPO)
• Este obligatoriu desemnat în toate unitățile școlare (art. 37 RGPD).
• Rol: consiliază, monitorizează conformarea, cooperează cu ANSPDCP, este punct de contact pentru persoane vizate.
• Datele de contact ale DPO trebuie publicate pe site-ul școlii și comunicate ANSPDCP.
3. Cartografierea prelucrărilor
• Fiecare școală trebuie să țină Registrul activităților de prelucrare (art. 30 RGPD):
o categoriile de date (ex. date de identificare elev, note, date medicale);
o scopuri (școlarizare, evidență absențe, burse, catalog electronic);
o destinatari (ISJ, MEN, autorități publice);
o durata stocării;
o măsuri tehnice și organizatorice.
4. Drepturile elevilor și părinților
• Drept la informare (art. 13–14 RGPD).
• Drept de acces, rectificare, ștergere („dreptul de a fi uitat”).
• Drept la restricționare și opoziție.
• Dreptul de a depune plângere la ANSPDCP.
5. Reguli speciale pentru date sensibile
• Date biometrice (ex. recunoaștere facială, amprente) – NU se pot folosi pentru acces în școli fără temei legal expres și fără consimțământ clar.
• Date medicale – se colectează strict pentru scopuri legale (adeverințe medicale, vaccinări obligatorii).
• Minorii – prelucrarea datelor online necesită consimțământul părinților pentru copii sub 16 ani (art. 8 RGPD).
6. Măsuri tehnice și organizatorice
• Protecția datelor prin proiectare și implicit (privacy by design & by default).
• Asigurarea securității: parole, acces restricționat, back-up, criptare (art. 32 RGPD).
• Politici interne clare privind accesul la catalogul electronic, camere de supraveghere, rețele WI-FI.
• Instruirea periodică a cadrelor didactice și personalului auxiliar.
7. Breșe de securitate
• Orice incident (pierdere, divulgare, acces neautorizat) trebuie notificat ANSPDCP în 72 de ore (art. 33 RGPD).
• Dacă există risc pentru elevi/părinți, aceștia trebuie informați imediat.
8. Controale ANSPDCP în școli (lecții din 2024)
• Școlile au fost verificate privind: existența DPO, registre de prelucrare, măsuri de securitate.
• Caz sancționat: școală cu recunoaștere facială pentru elevi → sancțiune avertisment + obligația de a renunța la practică.
• Recomandare: evitarea soluțiilor tehnice intruzive, preferarea unor metode proporționale și mai puțin invazive.
_______________________________________
Extras oficial - Raport ANSPDCP 2024: Unități de învățământ
Prezentul document conține extrase oficiale din Raportul de activitate al Autorității Naționale de Supraveghere a Prelucrării Datelor cu Caracter Personal (ANSPDCP) pentru anul 2024, referitoare la unitățile de învățământ publice și private.
1. Controale la unități de învățământ
În anul 2024, ANSPDCP a inclus unitățile de învățământ, alături de alte instituții publice și private, în cadrul acțiunilor de control tematic și al investigațiilor din oficiu. Controalele au vizat respectarea prevederilor Regulamentului (UE) 2016/679 privind:
- desemnarea responsabilului cu protecția datelor (DPO, art. 37–39 GDPR);
- securitatea prelucrării (art. 32–34 GDPR);
- respectarea principiilor de legalitate, proporționalitate și minimizare a datelor (art. 5 GDPR).
2. Caz concret – Recunoaștere facială într-o școală publică
Raportul descrie un caz relevant din 2024: o instituție de învățământ public a implementat sisteme de control acces prin recunoaștere facială, utilizate pentru monitorizarea mobilității elevilor.
Constatări ANSPDCP:
- Practica risca să încalce art. 5 alin. (1) lit. a) și c) din GDPR (legalitate și minimizarea datelor);
- S-a apreciat că utilizarea datelor biometrice ale elevilor și personalului reprezintă o atingere gravă adusă vieții private;
- Prelucrarea nu era proporțională cu scopul urmărit și nu respecta principiul necesității.
Măsuri dispuse:
- Aplicarea unei sancțiuni de tip AVERTISMENT;
- Obligația operatorului (școala) de a renunța la utilizarea neconformă a sistemului de recunoaștere facială.
3. Concluzii și lecții pentru școli
1. Datele biometrice (recunoaștere facială, amprente etc.) sunt considerate date sensibile și pot fi utilizate în școli doar în condiții extrem de restrictive.
2. Unitățile de învățământ au obligația de a desemna și implica activ un responsabil cu protecția datelor (DPO).
3. Instruirea personalului școlar și implementarea măsurilor tehnice și organizatorice adecvate sunt esențiale pentru conformitate.
4. Controalele tematice demonstrează că școlile sunt vizate constant de verificările ANSPDCP, fiind necesară o atenție sporită la respectarea GDPR.
________________________________________
Sursa:
• Ghid Legea 363/2018 – aplicabil mai ales în zona autorităților competente (poliție, parchet etc.)
• Ghid RGPD (ANSPDCP) – aplicabil direct școlilor, pentru prelucrarea datelor elevilor, profesorilor și părinților
• ANSPDCP 2024
________________________________________
Din documentul „Întrebări Frecvente” :
_______________________________________
Sinteză GDPR pentru unități școlare1. Cine este operatorul de date?
* Școala (ca persoană juridică de drept public) este operator de date cu caracter personal .
* Ea stabilește scopurile și mijloacele prelucrării datelor elevilor, părinților și profesorilor.
2. Obligații principale ale școlii
Desemnarea DPO (responsabil protecția datelor), obligatoriu pentru școli.
Registrul activităților de prelucrare (art. 30 RGPD).
Asigurarea securității datelor (art. 25, 32 RGPD).
Notificarea breșelor în max. 72h (art. 33 RGPD).
Evaluarea impactului pentru prelucrări riscante (ex. date biometrice, camere video).
3. Drepturile elevilor și părinților
* Informare clară și acces la date.
* Rectificare și ștergere („dreptul de a fi uitat”).
* Portabilitatea datelor.
* Opoziție la anumite prelucrări.
* Dreptul de plângere la ANSPDCP.
4 Consimțământul
* Obligatoriu pentru date speciale (biometrice, medicale, religie) dacă nu există temei legal expres.
* Copiii sub 16 ani → prelucrarea online necesită consimțământul părinților.
* Consimțământul trebuie să fie liber, specific și informat; se poate retrage la fel de ușor cum a fost dat.
5. Situații specifice în școli
Catalog electronic – se bazează pe obligație legală; nu e nevoie de consimțământ.
Recunoaștere facială / date biometrice – NU este permisă decât cu temei legal expres; ANSPDCP a sancționat deja un caz (2024).
Camere video – permise doar pentru siguranța elevilor, cu informare clară și respectarea principiului proporționalității.
Date medicale – colectate numai conform legii (adeverințe, vaccinări obligatorii).
6. Durata stocării datelor
* Doar cât timp e necesar pentru scopul colectării (ex. datele din catalog – pe toată durata școlarizării + arhivare conform legii).
* Se pot păstra mai mult doar pentru interes public, cercetare sau arhivare (art. 5 alin. 1 lit. e RGPD).
7. Proceduri interne recomandate
Elaborarea de politici și proceduri clare pentru:
* accesul la date,
* gestionarea solicitărilor elevilor/părinților,
* reacția la breșe de securitate,
* instruirea periodică a cadrelor didactice.