Noul Ordin al Ministerului Educației nr. 3.781/2025 reglementează utilizarea camerelor video în școli pentru a preveni violența și a asigura siguranța elevilor. Deși intenția este legitimă, mai multe prevederi ridică îngrijorări privind compatibilitatea cu Regulamentul (UE) 2016/679 (GDPR), apreciază Daniela Cireașă, președintele Asociației Specialiștilor în Confidențialitate și Protecția Datelor și Data Protection Officer (DPO) certificat internațional.
Prevederi conforme cu GDPR
- Informarea persoanelor vizate
Art. 5 alin.2 din Ordin prevede informarea persoanelor vizate. Atentie insa, o simpla afisare a unei pictograme NU reprezinta informare conforma si suficienta, aceasta trebuind sa contina toate elementele obligatorii de la Art. 13 și 14 GDPR. - Limitarea duratei de stocare
Imaginile sunt păstrate cel mult 30 de zile (Art. 9 din Ordin), respectând Art. 5 alin. 1 lit. e) GDPR – principiul limitarii legate de stocare. - Stabileste regula si, prin urmare, cazurile de supraveghere in afara regulii, trebuie tratate ca exceptie
Un sistem de supraveghere care funcționează pe timpul nopții, precum și în afara programului de lucru obișnuit răspunde nevoilor operatorului pentru prevenirea oricărui pericol la adresa unității de învățământ (art. 4. Alin.2 din Ordin).
- Limitarea prelucrării în spații private
Art. 4 alin. 1 din Ordin interzice camerele în vestiare, grupuri sanitare, dormitoare etc., conform cu Art. 5 alin. 1 lit. c GDPR- principiul reducerii la minim a datelor prelucrate. - Circuit inchis
Unitățile de învățământ preuniversitar utilizează numai camere sau dispozitive de supraveghere configurate cu circuit închis, care nu permit accesul la înregistrări din afara unității de învățământ, asadar instalarea pe telefonul conducerii liceului, spre exemplu, nu este conforma cu prevederile Ordinului.
- Evaluarea de Impact (DPIA)
Art. 14 din Ordin prevede realizarea unei Evaluări de Impact asupra Protecției Datelor cu Caracter Personal (DPIA), în conformitate cu Art. 35 GDPR. Subliniem insa ca aceasta Evaluare NU poate fi intocmita de catre Responsabilul cu protectia datelor, ca este necesar Avizul acestuia asupra evaluarii si ca, in cazul unor riscuri reziduale ridicate pentru persoanele vizate, este necesara consultarea Autoritatii Nationale de supraveghere. - Masuri tehnice si organizatorice
Salutam introducerea clara a unor exemple de masuri tehnice si organizatorice in cuprinsul Ordinului, cum ar fi:
- Parolarea
- Proceduri specifice
- Control acces
- Inregistrarea tentativelor de acces neautorizat
- Informarea persoanelor vizate
- Intocmirea Evaluarii de impact.
8. Controlul accesului
Numai persoanele autorizate pot accesa sistemul și datele, iar celelalte nu pot avea acces. Măsurile care sprijină controlul accesului fizic și logic cuprind:
a) garantarea faptului că toate spațiile în care se realizează monitorizarea prin supraveghere audio-video și în care sunt stocate înregistrările audio-video sunt asigurate împotriva accesului nesupravegheat al terților;
b) poziționarea monitoarelor astfel încât numai persoanele autorizate să poată vizualiza imaginile;
Așadar, atenție la monitoarele montate în cancelarii sau pe holurile de la intrare!
Prevederi neconforme cu GDPR
- Responsabilul cu protecția datelor (DPO) poate fi din conducere
Art. 2 alin 1 din Ordin prevede că Responsabil cu protectia datelor este, de regula, directorul adjunct sau un membru al Consiliului de Administratie, contravenind Art. 38(6) GDPR, care cere lipsa conflictului de interese. Un membru din conducere nu poate asigura imparțialitate, întrucât este implicat direct în decizii privind prelucrarea datelor. - Limitarea excesivă a dreptului de acces
Ordinul prevede că persoanele vizate pot face cereri de acces, strict pentru vizualizare, justificate si aprobate de directorul unitatii de invatamant, contrar Art. 15 GDPR. - Lipsa unui temei legal clar pentru prelucrare de către instituții publice
Ordinul invocă generic interesul public sau consimțământul majorității, fără un temei legal specific, contrar Art. 6 alin. 1 și 3 GDPR. De asemenea, prelungirea duratei supravegherii video se face doar cu consultarea persoanelor vizate.
Consimțământul în contextul școlar
- Elevi / părinți: Consimțământul majorității părinților nu este suficient; conform Art. 4(11) și Art. 7 GDPR, consimțământul trebuie să fie individual, specific, informat și liber exprimat. Pe de alta parte, consimtamantul persoanelor vizate in relatia cu institutiile publice, este iarasi, problematic, dat fiind dezechilibrul de putere dintre cele doua parti.
- Angajați: Consimțământul angajaților nu este considerat valabil din cauza dezechilibrului de putere, conform Recital 43 GDPR.
- Conform art. 7 din GDPR, consimtamantul persoanelor vizate poate fi retras oricand astfel incat, o majoritate simpla fragila, poate fi oricand pierduta. Dreptul la retragerea consimtamantului trebuie sa fie clar si distinct prevazut in notele de informare!
Concluzie
Deși Ordinul Ministerului Educației nr. 3.781/2023 pare să urmărească un obiectiv legitim — creșterea siguranței în unitățile de învățământ — modul în care sunt prevăzute prelucrarea și protecția datelor cu caracter personal reflectă o înțelegere incompletă și, pe alocuri, incorectă a cerințelor Regulamentului General privind Protecția Datelor (GDPR).
Faptul că unele dispoziții încalcă în mod direct principii fundamentale, precum dreptul de acces al persoanelor vizate sau independența responsabilului cu protecția datelor, arată că acest ordin are nevoie de o revizuire urgentă. Simplul fapt că datele apartin unor categorii vulnerabile de persoane vizate — imagini video ale minorilor și angajaților — impune standarde mai ridicate de transparență, legalitate și protecție.
În jurisprudența Curții Europene a Drepturilor Omului (CEDO), cauza Antović și Mirković împotriva Muntenegrului reprezintă un precedent semnificativ privind ingerința în viața privată a profesorilor prin supravegherea video la locul de muncă, incalcand art. 8 din Convenția Europeană a Drepturilor Omului (dreptul la respectarea vieții private și de familie), deoarece viața privată include și activitățile profesionale.
Atragem atentia si la necesitatea intocmirii unei Analize de risc fizic prin care sa se evalueze riscurile specifice fiecarei unitati de invatamant si prin care evaluatorul de risc fizic (nu consiliul de administratie) sa decida daca, unde, in ce conditii se instaleaza camerele de supraveghere.
Este esențial ca Ministerul Educației si Cercetarii să revină asupra acestui ordin, să consulte specialiști în protecția datelor și să colaboreze cu ANSPDCP pentru a armoniza măsurile de securitate cu respectarea deplină a legislației europene.
4 comments
ce scrie aici este fals. DPO trebuie sa aiba pregatirea profesionala iso 27021 pentru a produce rezultatele, trebuie sa ii se asigure resursele necesare – amenda 10 milioane.
omisiunea de a lua masurile tehnice si organizationale (rezultatele) iso 20000-1, 26000, 27000 samd amenda 20 milioane.
personalul Anspdcp nu are pregatirea profesionala sa intervina.
iso 29134 stabileste standardul exuastiv
In sfârșit, o analiză rece, tehnică!
Ca nejurist, văd totuși bubele din ordin. Nu pot să mă rețin de la a spune cu voce tare cum invocarea „consimțământului majorității” și atâtea puncte de „dezechilibru de putere” ne aduc în prim-plan mârșăviile de tip mușamalizare din scoli. Tot acea „majoritate” care, la nivel de clasă, face dintr-un agresor un agresor mai feroce, dintr-un copil „un pic rănit” un sinucigaș in doar un an și ceva.
E clar că se cere optimizarea urgentă a ei.
Cu cine??
Ne facem a muncim în loc să copiem o lege bună din Europa, de unde funcționează.
Tablele interactive au opțiunea de filmare a clasei, deci profesorul, în baza art.272(1), Legea Educației, are posibilitatea, DACĂ VREA, să filmeze, deci în clase este mai mult decât abuzivă utilizarea
Mulțumim!
Din păcate, legea NU mai contează de mult in România.