GDPR și aplicațiile pentru școli: ghid practic pentru directori
Ce datorii are școala ca operator, ce trebuie să ceri furnizorului și ce greșeli prind inspecțiile cel mai des.
GDPR-ul (Regulamentul UE 2016/679) se aplică oricărei prelucrări de date personale, inclusiv ale elevilor minori. Pentru o școală care folosește o aplicație digitală — catalog, comunicare, materiale — asta înseamnă obligații concrete, nu doar formulare semnate la început de an.
Ce date prelucrează o aplicație școlară
- nume, prenume, CNP (sau alt identificator unic) al elevului,
- note, prezență, observații, medii,
- date de contact ale părinților,
- mesaje între profesori, părinți și elevi,
- uneori: fotografii, documente justificative, fișiere atașate.
Toate intră în categoria date personale ale minorilor, cu protecție sporită conform Art. 8 GDPR.
Rolurile: cine e operator și cine e împuternicit
În cele mai multe cazuri, școala este operator de date (stabilește scopul prelucrării), iar furnizorul aplicației este împuternicit (procesează datele pentru școală). Relația trebuie reglementată printr-un Acord de prelucrare a datelor personale (DPA) — document obligatoriu prin Art. 28 GDPR.
Cerințe pe care trebuie să le ceri furnizorului
- DPA semnat înainte de începerea utilizării.
- Hosting în UE / SEE (sau, cel puțin, în țări cu decizie de adecvare).
- Criptare la transport (TLS) și la repaus.
- Politica de retenție: cât timp se păstrează datele după plecarea elevului din școală?
- Drept de portabilitate: poți exporta toate datele școlii într-un format deschis (JSON, CSV)?
- Drept la ștergere: când un elev cere ștergerea (Art. 17), procesul e clar și se execută în 30 de zile?
- Audit trail: cine a accesat ce date și când.
- Notificare incidente: data breach raportat în 72 de ore către ANSPDCP.
Consimțământul minorilor sub 16 ani
În România, prelucrarea datelor minorilor sub 16 ani necesită consimțământul părintelui sau al tutorelui legal. În contextul școlar, acest consimțământ este de obicei colectat la înscriere, dar trebuie reînnoit dacă se schimbă scopul prelucrării sau furnizorul aplicației.
Erori comune pe care le văd inspecțiile
- Lipsa DPA semnat cu furnizorul aplicației.
- Politica de confidențialitate inexistentă sau generică, fără mențiuni despre elevi.
- Date stocate în SUA fără mecanisme de transfer (Privacy Framework sau Clauze Contractuale Standard).
- Acces la catalog acordat unor utilizatori nepotriviți (de exemplu, fiecare profesor poate vedea toate clasele).
- Lipsa registrului de prelucrări (Art. 30 GDPR).
Recomandare practică
Înainte să semnezi cu un furnizor, cere-i: DPA-ul, politica de confidențialitate, dovada hosting-ului în UE și un proces concret pentru cereri GDPR (ștergere, portabilitate, acces). Dacă răspunde „rezolvăm pe email când apar", e semnalul să cauți altă opțiune.
Despre AXS LEARNING SRL
Construim produse de educație pentru școala românească
Era Lumis (simulator Evaluare Națională), AXS Liceu (calculator admitere) și AXS Learning Centre (centrul de meditații din București) — plus catalogul digital în pregătire.
Citește mai departe
Catalogul electronic în școlile din România: ce trebuie să știe directorii în 2026
De ce nu se mai poate cu hârtia, ce funcționalități contează cu adevărat și cum eviți să cumperi un sistem pe care nu îl folosește nimeni.
Citește
Cum alegi platforma digitală pentru școala ta: 7 întrebări esențiale
Întrebările pe care orice director ar trebui să le pună unui furnizor de platformă școlară înainte de semnătură.
Citește