Ionuț Budăcan, prof. metodist CCD BN: Educație și confidențialitate - Cetățenie digitală și GDPR în școli

În prezent, odată cu accelerarea procesului de digitalizare din ultimii ani, școlile din România utilizează o varietate de platforme digitale (cataloage electronice, Google Classroom, Microsoft Teams for Education sau chestionare Google Forms) care colectează și prelucrează date personale ale elevilor, cadrelor didactice și părinților. În acest context, se impune o gestionare responsabilă a acestor informații de către actorii educaționali, care sunt nevoiți, prin prisma legislației europene și naționale, să își însușească un pachet de competențe care să le permită să țină pasul cu schimbările constante din mediul digital.

Ideea creării unui regulament european care să reglementeze aspectele ce țin de protecția datelor își are originea într-un incident major la nivel internațional, care a demonstrat cum pot fi manipulate în scop politic datele a milioane de persoane. Acest episod este cunoscut sub numele de scandalul Cambridge Analytica și poate fi prezentat simbolic în trei etape.

Prima etapă – „Furtul” – s-a realizat sub aparența unei aplicații aparent inofensive: un test de personalitate pe Facebook care colecta datele utilizatorilor care îl completau. Mai mult decât atât, aplicația prelua automat și datele prietenilor acestora, fără ca aceștia să știe sau să își dea consimțământul.

A doua etapă – „Profilarea” – a constat în prelucrarea acestor date, analizate cu ajutorul unor algoritmi sofisticați pentru a crea profiluri psihologice detaliate ale utilizatorilor. Sistemul putea prezice personalitatea, temerile, dorințele și vulnerabilitățile fiecărei persoane.

A treia etapă – „Manipularea” – a presupus utilizarea acestor profiluri pentru transmiterea unor reclame politice ultra-personalizate, bazate pe emoții și temeri, menite să influențeze votul în campanii precum alegerile prezidențiale din SUA din 2016 și referendumul pentru Brexit. Această manipulare în masă a determinat legislatorii europeni să accelereze adoptarea GDPR, legea care astăzi oferă un cadru de protecție pentru datele personale ale cetățenilor.

Regulamentul General privind Protecția Datelor (General Data Protection Regulation – GDPR) poate fi privit ca un cod de bune practici pentru oricine utilizează datele personale ale altor persoane. Acesta a intrat în vigoare în Uniunea Europeană, inclusiv în România, la data de 25 mai 2018. Încălcarea regulamentului poate atrage sancțiuni severe, inclusiv amenzi de până la 20 de milioane de euro sau până la 4% din cifra de afaceri globală a unei companii. Un exemplu notabil îl reprezintă amenda de 1,2 miliarde de euro aplicată companiei Meta, pentru transferul datelor utilizatorilor din Uniunea Europeană către servere din Statele Unite fără a asigura un nivel de protecție echivalent cu cel cerut de GDPR, ceea ce a expus aceste date riscului de acces din partea unor agenții guvernamentale.

În domeniul educațional se lucrează cu numeroase categorii de date personale, colectate în baza Legii Învățământului Preuniversitar (Legea nr. 198/2023). Printre acestea se numără numele, CNP-ul, datele medicale, rezultatele școlare sau adresele elevilor. Pentru aceste informații nu este necesar, în mod normal, un acord separat al părinților sau tutorilor legali, deoarece prelucrarea lor se realizează în baza obligațiilor legale ale instituției. Totuși, există situații în care consimțământul devine esențial, de exemplu în cazul utilizării imaginilor sau datelor personale ale elevilor în materiale educaționale sau de promovare. În astfel de situații este necesar acordul scris al părinților, în conformitate cu Articolul 6 din GDPR, care reglementează consimțământul pentru prelucrarea datelor.

Prin urmare, atunci când sunt prelucrate astfel de informații, cadrele didactice trebuie să manifeste responsabilitate și să evite încălcarea drepturilor fundamentale ale persoanelor vizate.

Pentru gestionarea responsabilă a datelor în școală trebuie respectate o serie de recomandări și proceduri, precum: Păstrarea documentelor școlare (conform Ordinului nr. 4634 din 10 iunie 2024)

1. Arhivarea în dulapuri metalice securizate – registrele matricole, cataloagele sau foile matricole sunt păstrate în dulapuri încuiate, la care au acces doar persoanele autorizate.
2. Depozitarea în arhiva școlii – documentele vechi sunt organizate în dosare și păstrate în spații special destinate arhivării, protejate de deteriorare, umiditate sau acces neautorizat.
3. Evidența în registre oficiale – actele de studii eliberate (diplome, certificate) sunt înregistrate în registre speciale pentru a putea fi verificate ulterior.
4. Păstrarea în format digital securizat – cataloagele electronice sau bazele de date cu informații despre elevi sunt protejate prin parole, conturi individuale și sisteme de securitate informatice.
5. Acces limitat la personal autorizat – doar directorul, personalul din secretariat sau anumite cadre didactice pot consulta sau modifica aceste documente.

Conform Ordinului nr. 5545/2020 al Ministerului Educației, orele online trebuie organizate prin platforme educaționale digitale sigure, unde elevii și profesorii utilizează conturi individuale și parole. Accesul la cursuri este limitat exclusiv la participanții autorizați. Comunicarea, materialele didactice și temele sunt gestionate în cadrul acestor platforme, iar cadrele didactice trebuie să respecte regulile de confidențialitate și protecție a datelor personale, evitând distribuirea datelor elevilor sau înregistrarea cursurilor fără acord.

Transmiterea datelor personale reprezintă, de asemenea, un aspect sensibil. Nu este recomandat ca profesorii sau personalul școlii să transmită liste cu date ale elevilor (nume, note, absențe, CNP, adrese sau alte informații personale) prin aplicații precum WhatsApp sau prin e-mailuri neprotejate, deoarece aceste canale pot fi accesate de persoane neautorizate. În schimb, transmiterea acestor informații trebuie realizată prin platformele educaționale oficiale ale școlii, unde accesul este controlat prin conturi și parole, iar datele sunt stocate în sisteme mai securizate.

Un alt element esențial este existența, în fiecare unitate de învățământ, a unei persoane responsabile cu protecția datelor, cunoscută sub denumirea de Data Protection Officer (DPO). Aceasta are rolul de a se asigura că prelucrarea datelor se realizează în conformitate cu principiile legalității și corectitudinii.

Responsabilul cu protecția datelor are mai multe atribuții importante:

• consiliază conducerea instituției și angajații cu privire la aplicarea GDPR;
• monitorizează respectarea regulamentului;
• analizează riscurile înainte de implementarea unor sisteme noi (de exemplu camere de supraveghere sau platforme online);
• reprezintă legătura dintre instituție și Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal;
• verifică periodic modul în care sunt stocate și utilizate datele personale;
• întocmește și actualizează registrul activităților de prelucrare a datelor.

Este important de menționat că responsabilul cu protecția datelor nu este direct responsabil pentru eventualele încălcări ale GDPR, rolul său fiind unul consultativ și de monitorizare. Răspunderea legală revine conducerii instituției.

În cazul apariției unui incident de securitate (de exemplu furtul unui laptop care conține date despre elevi, acces neautorizat la baza de date a școlii sau transmiterea accidentală a unor informații către o persoană greșită), trebuie urmați câțiva pași esențiali: documentarea incidentului, notificarea conducerii școlii, informarea responsabilului cu protecția datelor și, dacă există riscuri pentru persoanele vizate, notificarea autorității competente în termen de 72 de ore. Ulterior, persoanele afectate trebuie informate despre incident și despre măsurile adoptate.

Pe baza acestor principii, orice angajat din sistemul educațional poate aplica o serie de reguli simple pentru protejarea datelor personale:

• utilizarea unor parole puternice (minimum 12 caractere, cu litere mari și mici, cifre și simboluri);
• verificarea atentă a adresei destinatarului înainte de trimiterea unui e-mail;
• evitarea deschiderii atașamentelor suspecte;
• evitarea utilizării telefonului personal pentru stocarea datelor elevilor;
• blocarea ecranului calculatorului atunci când se părăsește biroul;
• evitarea lăsării documentelor cu date personale pe birou sau la imprimantă;
• distrugerea documentelor cu date personale în tocător, nu aruncarea lor la gunoi;
• evitarea discutării informațiilor despre elevi în spații publice.

Pentru stabilirea cadrului legal în care școala respectă regulile privind protecția datelor pot fi consultate mai multe acte normative, printre care:

• Regulamentul (UE) 2016/679 – GDPR, actul principal care definește regulile, drepturile și obligațiile privind protecția datelor;
• Carta Drepturilor Fundamentale a Uniunii Europene (art. 7 și 8), care recunoaște protecția datelor ca drept fundamental;
• Convenția Europeană a Drepturilor Omului (art. 8) privind respectarea vieții private și de familie;
• Legea nr. 190/2018, care adaptează prevederile GDPR la legislația românească;
• Legea Învățământului Preuniversitar nr. 198/2023, care stabilește cadrul legal pentru colectarea și prelucrarea datelor în educație;
• Ordinul Ministerului Educației nr. 5545/2020, care reglementează utilizarea platformelor digitale și protecția datelor în mediul online.

 Bibliografie:

ICDL Romania. 2026. Ghid AI pentru educație. Ghid practic pentru școlile din România. București: ICDL Romania. https://icdl.ro/wp-content/uploads/2026/03/GHID_AI_PT_EDUCATIE_final.pdf [Interactiv] [Citat: 31 martie 2026.]

România. Legea nr. 190/2018 privind măsuri de punere în aplicare a Regulamentului (UE) 2016/679 al Parlamentului European și al Consiliului din 27 aprilie 2016 privind protecția persoanelor fizice în ceea ce privește prelucrarea datelor cu caracter personal. Publicată în Monitorul Oficial nr. 651 din 26 iulie 2018. [Interactiv] [Citat: 31 martie 2026.] Disponibilă la: https://legislatie.just.ro

România. Legea nr. 198/2023 a învățământului preuniversitar. Publicată în Monitorul Oficial nr. 630 din 10 iulie 2023. [Interactiv] [Citat: 31 martie 2026.] Disponibilă la: https://legislatie.just.ro

România. Ministerul Educației. Ordinul nr. 5545/2020 privind utilizarea platformelor digitale și protecția datelor în mediul online. [Interactiv] [Citat: 31 martie 2026.] Disponibil la: https://legislatie.just.ro

Ghid orientativ de aplicare a Regulamentului General privind Protecția Datelor destinat operatorilor. 2017. București: Autoritatea Națională de Supraveghere a Prelucrării Datelor cu Caracter Personal. https://www.dataprotection.ro [Interactiv] [Citat: 31 martie 2026.]

Budăcan Bogdan-Ionuț
prof. metodist CCD Bistrița-Năsăud