avocatnet.ro 
- Instituțiile publice de învățământ au obligația de a desemna un DPO conform GDPR, indiferent de mărime, dar pentru cele private obligația de a desemna unul rezultă din ordinul de față, dacă folosesc sisteme de supraveghere.
- Este chestionabilă opțiunea legislativă exprimată în acest ordin în ceea ce privește oferirea atribuțiilor DPO-ului directorului adjunct.
- Responsabilul de sisteme de supraveghere poate fi un cadru didactic, dar noile atribuții riscă să devină împovărătoare pentru un cadru didactic care nu primește nimic în plus la salariu pentru acestea.
La final de aprilie a fost oficializată procedura privind monitorizarea audio-video în cadrul unităţilor de învăţământ preuniversitar. Ordinul ministrului educației nr. 3781/2025, necesar în aplicarea unei ordonanțe aprobate acum aproape un an (OUG nr. 95/2024), prezintă însă unele aspecte chestionabile prin raportare la reglementările de bază din domeniul protecției datelor personale.
„Prezenta procedură se aplică în unităţile de învăţământ preuniversitar, în cadrul activităţii de supraveghere prin mijloace audio-video, de o persoană cu atribuţii de monitorizare a funcţionării sistemului de supraveghere audio-video, de regulă un cadru didactic, precum şi un responsabil cu protecţia datelor cu caracter personal, de regulă directorul adjunct sau un membru al consiliului de administraţie”, stabilește prevederea care fixează domeniul de aplicare a procedurii publicate pe 30 aprilie.
Instituțiile de învățământ preuniversitar, fie publice, fie private, care nu decid să utilizeze sisteme de supraveghere audio-video nu trebuie „să-și bată capul” cu această procedură - dar dacă intenționează să utilizeze trebuie să se raporteze la OUG 95/2025 și la acest ordin recent publicat; mai important de atât însă, trebuie să se raporteze la prevederile GDPR, care e un regulament european direct aplicabil în România (și mai presus de un simplu ordin de ministru).
Prevederea citată mai sus, listată chiar la începutul ordinului, numește doi responsabili extrem de importanți, obligatorii, de fapt, în contextul punerii în funcțiune a unui sistem de supraveghere:
- responsabilul de sistem - cel care are atribuții în monitorizarea funcționării sistemului de supraveghere - care este, de regulă, un cadru didactic, conform ordinului;
- DPO-ul („data protection officer”) sau responsabilul cu protecția datelor - aici, ordinul de ministru stabilește că atribuțiile revin, de regulă, directorului adjunct sau consiliului de administrație./
Dacă despre responsabilul de sistem, cel mai probabil un cadru didactic, putem spune că este indisolubil legat de punerea în funcțiune a sistemului de supraveghere, adică e obligatoriu doar în contextul folosirii acestor sisteme, despre DPO nu putem spune același lucru: conform GDPR, DPO-ul este obligatoriu în cazul instituțiilor de învățământ de stat. Instituțiile publice de învățământ au în mod automat obligația de a desemna un DPO, deoarece se încadrează în categoria de „autoritate sau organism public” menționată la art. 37(1) lit. (a) GDPR. Nu există excepții de la această regulă pentru instituțiile publice de învățământ în funcție de mărime sau volum de date prelucrate – toate trebuie să aibă un DPO. Chiar și o școală publică mică (de pildă, o grădiniță sau școală generală într-o comună) este obligată prin lege să aibă DPO, în virtutea faptului că este o entitate publică. GDPR permite totuși o abordare flexibilă: același DPO poate deservi mai multe autorități sau instituții publice simultan, dacă se ține cont de structura organizatorică și dimensiunea acestora - de exemplu, un inspectorat școlar județean poate desemna un unic DPO, care să acopere atât aparatul propriu, cât și unitățile de învățământ publice din subordine, unde resursele sunt limitate.
Cât privește instituțiile de învățământ private, numeroase opinii exprimate în ultimii ani arată că acestea nu ar avea în mod automat obligația de a numi un DPO, nici chiar dacă instalează sisteme de supraveghere video (adesea folosite în creșe și grădinițe private). Există totuși un motiv, prevăzut de legislația din România, care activează această obligație și pentru entități private de învățământ: faptul că prelucrează, printre altele, CNP-uri, conform Legii nr. 190/2018. Dincolo de aceste aspecte însă, ordinul de ministru pe care îl avem acum în față arată că entitățile private de învățământ sunt obligate să numească un DPO dacă pun în funcțiune sisteme de supraveghere audio-video.
Unul dintre aspectele criticabile cuprinse în acest ordin e legat de aprecierea pe care cei de la Ministerul Educației au făcut-o, în complet dezacord cu GDPR, în ceea ce privește persoana care poate fi DPO - „de regulă directorul adjunct sau un membru al consiliului de administraţie”. Date fiind atribuțiile DPO-ului, este cel puțin inadecvat ca directorul adjunct să aibă această funcție, din care îi este imposibil să evite un conflict de interese. DPO poate fi ori un angajat al operatorului de date ori un consultant extern, fiind necesar, totodată, ca acesta să aibă cunoștințe de specialitate în dreptul și practicile din domeniul protecției datelor. GDPR stabilește clar că responsabilul cu protecția datelor trebuie să își îndeplinească atribuțiile în mod independent și obiectiv. Astfel, un DPO nu poate deține simultan o funcție care implică luarea deciziilor legate de scopurile și mijloacele prelucrării datelor cu caracter personal, deoarece aceasta i-ar afecta independența și imparțialitatea. Totodată, DPO-ul, fie intern, fie extern, trebuie notificat celor de la ANSPDCP.
Responsabilul de sistem, cadru didactic - avantaje și dezavantaje
Deși este evident că e mult mai facilă opțiunea de a desemna un cadru didactic ca responsabil de sistem sau un alt angajat al instituției de învățământ (nu e obligatoriu însă, putând fi și un prestator extern, poate chiar DPO-ul extern), principalul dezavantaj este ce înseamnă aceste atribuții, la finele zilei, pentru persoana desemnată.
Pe de o parte, nu s-ar putea vorbi de o numire informală a unui angajat, ci de o decizie scrisă a conducerii la care respectivul angajat achiesează - în deplină cunoștință de cauză. Pe de o parte, angajatul desemnat responsabil trebuie să înțeleagă foarte bine atribuțiile care-i revin, precum și responsabilitatea în materia protejării datelor personale ale elevilor și cadrelor didactice.
Pe de altă parte, aceste atribuții vor rămâne, cel mai probabil, neremunerate suplimentar - angajatul va fi desemnat, își va asuma anumite responsabilități în gestionarea sistemului de supraveghere, însă mai mult ca sigur salariul acestuia nu va fi suplimentat în niciun fel, cel puțin dacă ne referim la instituțiile de învățământ de stat (în privat, lucrurile stau diferit, părțile având posibilitatea negocierii salariale). Adăugarea unor noi atribuții ar trebui să se reflecte și în statul de plată, mai ales dacă ne gândim la perioadele în care aceste noi atribuții se vor dovedi mai mult decât împovărătoare ca timp, nivel de stres, responsabilitate ș.a.m.d.
Cu alte cuvinte, deși desemnarea unui om „din interior” este mai facilă, ar trebui să ne punem întrebarea dacă, cel puțin în instituțiile de stat, există oameni care să accepte aceste responsabilități neremunerați.
oanaportar