Scolile - obligate sa aiba Responsabil cu Protectia Datelor

(DPO) din 25 mai

Regulament General privind Protectia Datelor (GDPR) intra in vigoare din 25 mai si toate institutiile publice vor fi obligate sa desemneze
un Responsabil cu Protectia Datelor (DPO). Scolile nu fac exceptie, mai ales ca ele detin date personale despre minori.
Tags: regulamentul de protectia datelorprotectia datelor 2018gdpr 2018responsabil gdpr scoli
Scopul GDPR impune protejarea confidentialitatii datelor personale intr-o lume care devine tot mai dependenta de tot ce inseamna date si
informatii. Gradinitele, scolile si liceele prelucreaza numeroase date cu caracter personal atat ale copilului, cat si ale reprezentantilor sai legali,
avand astfel calitatea de operator de date cu caracter personal.

Incepand cu data de 25 mai 2018, toate unitatile de invatamant trebuie sa desfasoare activitatea de prelucrare a datelor in conformitate cu GDPR
nr. 679/2016, care se va aplica direct in toate statele membre U.E.. in contextul protectiei datelor cu caracter personal ale copiilor, prelucrarea
trebuie sa respecte si principiul interesului superior al copilului.

Inca din etapa inscrierii copilului, unitatea de invatamant colecteaza date cu caracter personal care privesc atat copilul, cat si reprezentantii sai
legali. Aici sunt incluse actele pe care parintii le depun pentru a-si inscrie copiii la scoala, precum copii ale actele lor de identitate si copie a
certificatului de nastere a copilului.

De asemenea, datele personale privind sanatatea trebuie sa beneficieze de o protectie sporita, conform GDPR. Sfera persoanelor catre care se
transmit astfel de date trebuie sa fie restransa, pentru a se respecta si dreptul la viata privata garantat de art. 8 din CEDO.

In plus, unitatea de invatamant colecteaza si alte date necesare pentru furnizarea serviciului educational, cum sunt numarul de telefon si adresa
de e-mail ale reprezentantilor legali in scopul de a-i contacta si informa pe acestia despre activitatea copilului. Aceste date ale parintilor pot fi
utilizate si in scop de marketing direct de catre unitatea de invatamant, insa numai daca persoana respectiva si-a exprimat consimtamantul expres
pentru a-i fi prelucrate aceste date in acest scop specific.

Atentie! Consimtamantul reprezentatului legal este necesar si pentru fotografierea copiilor, altfel nefiind permisa publicarea fotografiilor de catre
unitatea de invatamant. Scolile sau gradinitele pot sa nu solicite consimtamantul prealabil al parintilor atunci cand fotografiile nu permit
identificarea facila a elevilor. Totusi, in asemenea cazuri, ramane obligatorie informarea copiilor si parintilor ca se va face o fotografie si modul in
care va fi aceasta utilizata, fiindu-le oferita posibilitatea de a refuza sa faca parte din fotografie.

Asadar, unitatea de invatamant ajunge sa prelucreze mai multe categorii de date personale, inclusiv date cu caracter special cum este CNP-ul si
date privind sanatatea minorului, care impun masuri mai riguroase de protectie. Fiecare unitate de invatamant ar trebui sa aiba o cartografie a
datelor cu caracter personal pe care le prelucreaza si temeiurile in baza carora realizeaza procesarea, pentru a fi in conformitate. A avea si a
pastra evidenta privind procesarea datelor reprezinta premisele pentru implementarea celorlalte masuri de protectie. Obligatia de informare se
regaseste in art. 13 din Regulamentul general privind protectia datelor nr. 679/2016, iar nerespectarea ei va fi sanctionata.

In activitatea de prelucrare a datelor cu caracter personal, unitatile de invatamant trebuie sa se preocupe de securitatea datelor si sa adopte
masuri tehnice si organizatorice pentru a impiedica o procesare neautorizata si nelegala si pierderea sau distrugerea accidentala a datelor.

Politica interna privind protectia datelor cu caracter personal ar trebui sa se refere si la masurile de securitate, cum si unde se pastreaza dosarele
personale ale copiilor, ce categorie de personal are acces la datele parintilor si ale copiilor, cum este permis accesul la sistemul informatic care
contine date personale.

Atentie trebuie acordata si atunci cand se comunica pe e-mail informatii despre activitatea copilului, pentru a se evita incidente cum ar fi
comunicarea unor informatii si date personale catre alte persoane, din greseala.

In temeiul art. 5 alin. (2) din Regulament, unitatile de invatamant trebuie sa poata face dovada ca prelucreaza datele personale in conformitate cu
principiile regasite in capitolul II din acest act normativ european. Aceasta noua obligatie presupune ca toti operatorii de date cu caracter personal
sa evalueze modul in care efectueaza procesarea in prezent pentru a lua masurile necesare astfel incat aceasta sa fie in conformitate cu
exigentele legislatiei aplicabile incepand cu 25 mai 2018.

Nu mai putin important este rolul pe care il au unitatile de invatamant in procesul de educatie al copiilor, mai exact ele trebuie sa ii invete pe copii
sa fie responsabili cu datele lor personale.

olosirea Registrului general de evidență a salariaților (Revisal) reprezintă o prelucrare de date

personale, potrivit legislației în vigoare, și este de ajuns pentru a oferi angajatorilor calitatea de
operatori de date cu caracter personal. În aceste condiții, apare întrebarea firească dacă toți angajatorii
ar trebui să numească un responsabil cu protecția datelor („data protection officer” sau DPO) începând
din mai 2018? Pentru a răspunde acestei nelămuriri, redacția noastră a luat legătura cu o specialistă.
 Iată câțiva consultanți care te pot ajuta în probleme legate de tema acestui articol

EMAIL TELEFON

Folosirea Revisal reprezintă, așa cum reiese din legislația în vigoare, o prelucrare de date
personale ale salariaților. Prin urmare, din moment ce angajatorii sunt obligați să folosească
Revisal, acest lucru este de ajuns pentru a le oferi calitatea de operatori de date cu caracter personal,
așa cum arătam și cu altă ocazie.

Astfel, în contextul introducerii obligației anumitor firme de a avea, începând cu data de 25 mai
2018, un responsabil cu protecția datelor personale, trebuie lămurit dacă toți angajatorii vor
trebui să respecte noua prevedere europeană.

Mai exact, desemnarea unui DPO va fi obligatorie pentru entitățile publice (de principiu, autoritățile
naționale, regionale și locale, exceptând instanțele) și pentru firmele care au ca activități
principale prelucrarea periodică și pe scară largă a datelor personale sau prelucrarea pe
scară largă a unor categorii speciale de date. Așa prevede Regulamentul general privind
protecția datelor (GDPR), ce se va aplica, de la data amintită, direct în toate statele membre ale
Uniunii Europene.

Pentru a lămuri situația, redacția noastră a stat de vorbă cu Andreea Lisievici,

avocat PrivacyOne cu experiență extinsă în domeniul protecției datelor.

Din continuarea articolului poți afla:

 dacă toți angajatorii vor avea obligația de a desemna un responsabil cu protecția datelor;
 ce costuri ar putea implica pentru o firmă un responsabil cu protecția datelor.

Integrarea în firmă a unui DPO: Salariatul

va avea nevoie de independență și de
resurse adecvate
responsabil protectia datelor dpo gdpr

În situația în care o companie va decide ca responsabilul cu protecția datelor („data protection officer”
sau , pe scurt, DPO) să fie un salariat propriu, integrarea acestuia în organigramă va trebui făcută
respectându-se anumite condiții esențiale. Una dintre ele este independența, în ideea că DPO-ul va
lucra fără să primească instrucțiuni și fără să fie subordonatul cuiva dintr-un anumit departament al
societății.

Iată câțiva consultanți care te pot ajuta în probleme legate de tema acestui articol

Obligația de a avea un DPO va reveni, începând cu data de 25 mai 2018, firmelor care se ocupă în
principal cu prelucrarea datelor personale, conform Regulamentului general privind protecția
datelor (GDPR). În esență, vizate sunt băncile, spitalele, clinicile private, farmaciile, magazinele online
și nu numai, fără să aibă o importanță reală dimensiunea firmei.

Desemnarea unui responsabil cu protecția datelor se va putea face în două feluri: fie prin alegerea
unui salariat propriu(nou sau actual), fie prin contractarea unui colaborator extern. Noi ne
concentrăm în acest articol pe desemnarea unui salariat propriu și ce va presupune asta, având în
vedere că un om intern implicat zilnic în activitatea firmei se va putea achita cel mai bine de sarcinile
sale de DPO.
 „Exercițiul funcției de DPO trebuie să fie reglementat în raporturile contractuale cu persoana care va
exercita funcția de DPO. Aceasta presupune încheierea unui contract de muncă (care să
reglementeze atribuțiile specifice acestei funcții), dacă funcția de DPO va fi ocupată de o persoană
nou-angajată. Dacă funcția de DPO va fi ocupată de un angajat existent, societatea va trebui să
semneze cu angajatul respectiv un act adițional la contractul de muncă (prin care părțile vor agrea
modificarea fișei postului, cu suplimentarea sarcinilor specifice unui DPO, precum și eventualele
ajustări privind remunerația cuvenită acestuia)”, a lămurit, pentru redacția noastră, Horia
Ispas (foto dreapta), partener la Țuca Zbârcea & Asociații.

Integrarea unui DPO în organigrama companiei va trebui făcută, în principiu, respectându-se

anumite condiții esențiale, așa cum reiese din GDPR și din recomandările specialiștilor cu care am
stat de vorbă.

În esență, „trebuie respectate cerințele GDPR specifice acestei funcții: independență, acces la resurse,
acces la personalul care prelucrează date, acces la cel mai înalt nivel de management”, a rezumat
pentru noi Andreea Lisievici (foto stânga), avocat la PrivacyOne.

Notă: De câteva luni, funcția de responsabil cu protecția datelor a fost introdusă în Clasificarea
ocupațiilor din România.

În continuarea articolului poți citi despre:

 stabilirea unui grad ridicat de independență în activitatea la firmă a DPO-ului;

 accesul DPO-ului la tot ce se întâmplă în companie în privința prelucrărilor de date personale;
 evitarea conflictelor de interese în cazul cumulului de funcții.

1. Independența
Responsabilul cu protecția datelor va avea un grad ridicat de independență și va răspunde direct în
fața celui mai înalt nivel al conducerii, așa cum reiese din prevederile GDPR.

Cu alte cuvinte, acesta nu poate fi încadrat ca subordonat al șefului unui anumit

departament al firmei. El trebuie să aibă, de preferat, propriul departament pe care să-l
conducăsau, în cel mai rău caz, să fie inclus într-un anumit departament din motive de spațiu. De
exemplu, să stea în departamentul de vânzări pentru că acolo i se găsește spațiu pentru un birou, dar
să nu figureze în organigramă ca subordonat al șefului vânzărilor.

„Ca regulă generală, funcția de DPO trebuie reflectată în organigrama societății. Ca atare, ar trebui
să existe o decizie a organului societar competent prin care să se actualizeze structura
organizatorică internă (fie în sensul că se creează o nouă poziție, fie că se suplimentează atribuțiile
unei poziții deja existente, cu cele specifice DPO-ului)”, a punctat Horia Ispas.
 DPO-ul poate ocupa, concomitent, și altă
funcție la firmă, dar trebuie evitate
conflictele de interese
Responsabilul cu protecția datelor („data protection officer” sau DPO, pe scurt), de care vor avea
nevoie companiile ce se ocupă în principal cu prelucrarea datelor personale, va putea să ocupe, în
același timp, și altă funcție. Practic, DPO-ului nu-i va fi interzis să îndeplinească alte sarcini și atribuții
în afară de cele specifice funcției sale, dar firmele vor trebui să se asigure că nu apar conflicte de
interese. Obligația numirii DPO-ului este prevăzută de un act normativ european care se va aplica din
primăvară și României, în mod direct.

EMAIL TELEFON

Obligația desemnării unui DPO apare în Regulamentul general privind protecția datelor (GDPR),
act normativ care se va aplica, în mod direct, în toate statele membre ale Uniunii Europene, începând
cu data de 25 mai 2018. În esență, vor trebui să numească un DPO firmele care se ocupă în principal
de prelucrarea datelor personale.

GDPR prevede în mod expres că responsabilul cu protecția datelor va putea ocupa, concomitent,
și altă funcție în cadrul firmei, însă numai în măsura în care nu există conflicte de
interese. „Responsabilul cu protecția datelor poate îndeplini și alte sarcini și atribuții. Operatorul sau
persoana împuternicită de operator se asigură că niciuna dintre aceste sarcini și atribuții nu
generează un conflict de interese”, dispune regulamentul amintit.

De principiu, DPO-ul nu poate ocupa, în același timp, și o funcție de decizie, ajungându-se în

situația în care acesta își evaluează propria activitate privind prelucrarea datelor
personale. „[Conflictul de interese apare în] orice situație în care DPO-ul ar fi chemat să analizeze o
chestiune în care el a decis sau pe care el a implementat-o în cadrul altei funcții. Sau în care chiar
DPO-ul stabilește scopul și mijloacele prelucrării de date”, a lămurit, la solicitarea redacției
noastre, Andreea Lisievici, avocat la PrivacyOne.

Specialista a dat ca exemplu o situație din Germania, țară de unde vine conceptul de DPO, acolo unde
o firmă a fost amendată pentru conflict de interese după ce managerul IT a fost desemnat și
responsabil cu protecția datelor.

În opinia autorităților de acolo, poziția de manager IT este incompatibilă cu cea de DPO, deoarece
acesta din urmă ar trebui să se monitorizeze pe el însuși, ceea ce ar fi în contradicție cu independența
necesară responsabilului cu protecția datelor. În plus, autoritățile au subliniat că există conflict de
interese dacă DPO-ul este șef al oricărui departament implicat serios în prelucrarea de date personale,
cum ar fi cele de HR,juridic sau marketing.

„Conflictul de interese este indisolubil legat de cerința independenței DPO-ului. Orice funcții sau
sarcini suplimentare încredințate DPO-ului care generează o presiune din zona de business (de
exemplu, puteri de decizie sau chiar de execuție în legătură cu scopurile și mijloacele de prelucrare a
datelor), contrară atribuțiilor legale ale DPO-ului, sunt surse ale conflictului de interese. Nu există o
listă a unor astfel de funcții, ci acestea trebuie determinate de la caz la caz, întrucât structurile
organizatorice și procesele decizionale interne variază de la o societate la alta”, ne-a explicat
și Horia Ispas, partener la Țuca Zbârcea & Asociații.

Horia Ispas a venit și el cu niște exemple concrete de conflicte de interese, care pot fi rezumate astfel:

 funcția de DPO e ocupată de persoane cu funcții de conducere, cum ar fi cele de:

o administrator sau director general (apare un conflict de interese general, având în vedere și
puterea decizională generală cu privire la activitatea unei societăți);
o director financiar (decide în aspectele financiare și poate influența decizia de a aproba finanțarea
de măsuri de conformare stabilite de GDPR);
o director de resurse umane (poate influența mecanismele de prelucrare a datelor angajaților,
foștilor angajați sau potențialilor angajați);
o director de marketing (poate influența mecanismele de prelucrare a datelor clienților în activitatea
de marketing);
 funcția de DPO e ocupată de persoane care n-au funcții de conducere, cum ar fi un consilier
juridic ce reprezintă societatea în instanță într-un litigiu pe legalitatea prelucrării datelor personale.

Ocuparea funcției de DPO la firme se va face fie prin desemnarea unui angajat propriu (nou sau
actual), fie prin contractarea unui colaborator extern (avocat, persoană fizică autorizată, altă firmă
etc.). Informații mai multe despre opțiuni sunt aici. În altă oridine de idei, mai nou, responsabilul cu
protecția datelor figurează și în Clasificarea ocupațiilor din România.

Obligația de a avea un DPO va apărea, din 25 mai 2018, în cazul societăților care se ocupă în principal
cu prelucrarea datelor personale. De exemplu, vorbim de bănci, spitale, clinici private, farmacii sau
magazine online. Chiar dacă poate părea probabil ca doar societățile de dimensiuni medii și mari să fie
vizate de obligație, aceasta poate apărea și la cele de dimensiuni mici.

Protectia datelor: Ce fac cu maldărul de

documente din subsol? Dar cu hârtiile de prin
sertare de care nu mai știe nimeni?
2017-06-06 07:06:00

Regulamentul general privind protecția datelor: Ce fac cu maldărul de documente din

subsol? Dar cu documentele de prin sertare de care nu mai știe nimeni? Cum știu că
asigur un nivel de securitate "adecvat"? (foto: Getty/ Guliver Images)

Acestea au fost numai câteva dintre întrebările ridicate în cadrul evenimentului din 25 mai
2017 organizat de AmCham România și găzduit de Microsoft și cu susținerea și
participarea Autorității Naționale de Supraveghere a Datelor cu Caracter Personal (ANSDCP).
Specialiștii juriști din Task Force-ul de Protecția Datelor din cadrul Comitetului IT&C al
AmCham România s-au reunit în două grupuri de dezbateri pentru a discuta o serie de teme
de interes în legătură cu Regulamentul General pentru Protecția Datelor cu Caracter Personal
aprobat la nivelul Uniunii Europene, care devine direct aplicabil și în România începând cu 25
mai 2018. Intrăm, practic, pe ultimii cinci sute de metri cu pregătirea pentru conformitatea cu
acest Regulament, iar întrebările și neclaritățile sunt încă numeroase. Este de apreciat faptul
că, deși are resurse umane foarte limitate față de magnitudinea nevoii de educare a pieței
locale, ANSDCP are deschiderea de a participa la astfel de evenimente, astfel încât, împreună
cu experții legali și industria de tehnologie să încerce ridicarea nivelului de conștientizare a
cerințelor impuse de Regulament și comunicarea imperativului de pregătire din timp de către
companiile din România, indiferent de mărime.

Dezbaterile au fost intense și s-au concentrat pe teme importante precum obținerea

consimțământului persoanei vizate, profilarea, drepturile persoanelor vizate, map-area datelor,
obligațiile companiilor în cazul unui incident de securitate. Am rezumat mai jos câteva dintre
principalele concluzii rezultate din aceste dezbateri:
Contributor
Consimțământul persoanei vizate pentru prelucrarea datelor trebuie să fie specific și
explicit. Un consimțământ general riscă să fie invalidat, iar un consimțământ implicit-prin
simpla accesare a unei pagini web sau utilizarea unui serviciu -nu mai este permis sub noua
reglementare. Asta nu înseamnă că singurul temei legal pentru prelucrarea datelor este
consimțământul. Participanții au arătat că, sub legea curentă, consimțământul pare să fie
poziționat ca fiind temeiul legal suprem-regulă, iar celelalte posibile temeiuri legale, precum
îndeplinirea unui contract, respectarea unei obligații legale, interesul legitim al operatorului,
par să fie excepția. Regulamentul face mult mai clar faptul că toate aceste temeiuri legale sunt
egal poziționate. Mai mult, specialiștii au semnalat că utilizarea excesivă a consimțământului
poate atrage anumite dificultăți companiilor care sunt operatori, întrucât în acest caz drepturile
persoanelor vizate sunt mai extinse-de exemplu, își pot retrage oricând acest consimțământ și
pot solicita încetarea prelucrării datelor lor și ștergerea acestora. Dacă ești într-o situație în
care interesul legitim era mai potrivit ca temei legal-de exemplu pentru menținerea securității
sistemelor-dar s-a referat obținerea consimțământului, compania se expune la riscuri
suplimentare în caz de retragere a consimțământului.

Persoana vizată se poate opune deciziilor bazate pe profilare automată, care nu implică
intervenție umană. Există, însă, și excepții precum activități de detectare a fraudei fiscale
impuse de legea aplicabilă operatorului. Dezbateri intense au existat în jurul prelucrării
datelor și profilării în cazul proceselor interne de conformitate menite să răspundă unor
cerințe de evaluare de riscuri și identificare de fraude impuse de o lege străină, precum
legislația americană Foreign Corrupt Practices Act și care se aplică și filialelor companiilor
americane din alte țări. Unele dintre aceste reglementări din jurisdicții străine nu au o
legislație echivalentă în România, unde este situată subsidiara companiei-mamă americane .
Concluzia a fost că, în astfel de situații, e de preferat ca, în cazul în care faci profilare, să nu
recurgi la decizii automate bazate pe o astfel de profilare, ci să implici o evaluare umană-de
exemplu în cazul evaluării riscului de conformitate în ceea ce privește proprii parteneri de
afaceri. Ce ne facem însă, cu o profilare de risc de securitate: implementezi sisteme împotriva
securității cibernetice, care, pe bază de machine learning, pot crea profiluri de comportament.
În caz de identificare a unor anomalii în comportamentul terminalului sau al sistemului,
sistemul semnalează un posibil atac cibernetic, iar administratorul companiei poate stabili
măsuri automate de reacție, cum ar fi blocarea accesului acelui terminal la infrastructura sau
la aplicațiile companiei. În acest caz, s-a ajuns la concluzia că profilarea se poate întemeia
chiar pe prevederile Regulamentului, care impun securitatea datelor și a sistemelor și protecția
lor inclusiv împotriva atacurilor cibernetice.
Informaţii privind protecţia datelor personale
I. Categorii de persoane
Inspectoratul Școlar Județean BIHOR - denumit în continuare pe scurt ISJ BIHOR- prelucrează datele
cu caracter personal următoarelor categorii de persoane fizice, în funcţie de scopul prevazut la
secţiunea II.
a) Elevi, studenţi, părinţi ai acestora, reprezentanţi legali ai acestora, alţi membri ai familiei, candidaţi
la testele sau examenele naţionale, viitori elevi sau studenţi; cadre didactice, cadre didactice auxiliare
şi personal nedidactic în relaţii contractuale cu ISJ BIHOR, candidaţi la concursurile de ocupare a
posturilor din sistemul educaţional, studenţi care fac practica în ISJ BIHOR;
b) Elevi, studenţi, cadre didactice, cadre didactice auxiliare, personal nedidactic sau alţi membri ai
familiei acestor categorii enumerate posibili beneficiari ai programelor de protecţie socială derulate
de ISJ BIHOR (asigurarea manualelor şcolare, Programul "Corn şi lapte", Programul "Euro200",
Programul "Bani de liceu", asigurarea transportului şcolar, burse, precum şi a altor programe
similare);
c) Elevi, studenţi, cadre didactice, cadre didactice auxiliare, personal nedidactic, vizitatori, orice
persoană care intră într-o unitate teritorială descentralizată a ISJ BIHOR dotată cu sistem de
supraveghere video;
d) Orice persoană fizică sau juridică ce are raporturi de natură comercială sau contractuală cu ISJ
BIHOR.
II. Scopul colectarii şi prelucrării
Conform cerinţelor Legii nr. 677/2001 pentru protecţia persoanelor cu privire la prelucrarea datelor
cu caracter personal şi libera circulaţie a acestor date, modificată şi completată şi ale Legii nr.
506/2004 privind prelucrarea datelor cu caracter personal şi protecţia vieţii private în sectorul
comunicaţiilor electronice ISJ BIHOR are obligaţia de a administra în condiţii de siguranţă şi numai
pentru scopurile specificate, datele personale care îi sunt furnizate despre categoriile de persoane
fizice prevazute la secţiunea I. Scopul colectării datelor este:
a) Pentru persoanele prevazute la secţiunea I. litera a: Prestari de servicii ale ISJ BIHOR şi unităţilor
subordonate pentru realizarea obiectului de activitate principal, respectiv: educaţie şi cultură. De
asemenea informaţiile colectate de către ISJ BIHOR prin intermediul unităţilor subordonate sunt
folosite pentru analize şi prelucrări statistice necesare pentru fundamentarea deciziilor în
managementul sistemului educaţional. Pentru prelucrarea acestor categorii de informaţii cu caracter
personal, ISJ BIHOR este înregistrat în Registrul de evidenţă a prelucrărilor de date cu caracter
personal sub nr. 5331.
b) Pentru persoanele fizice prevăzute la secţiunea I litera b: protecţia socială. În acest sens ISJ BIHOR
este înregistrat în Registrul de evidenţă a prelucrărilor de date cu caracter personal sub nr. 5332.
c) Pentru persoanele fizice prevazute la secţiunea I, litera c: monitorizarea accesului/persoanelor în
spaţii publice/private; securitatea persoanelor şi a spaţiilor publice/private; monitorizare video şi
securitate. ISJ BIHOR este în curs de înregistrare în Registrul de evidenţă a prelucrărilor de date cu
caracter personal.
d) Pentru persoanele fizice prevazute la secţiunea I, litera d: evidenţa financiar contabilă a ISJ BIHOR.
În acest sens ISJ BIHOR este înregistrat în Registrul de evidenţă a prelucrărilor de date cu caracter
personal sub nr. 5330.
III. Motivaţia colectării şi prelucrării
a) Scopul major pentru care ISJ BIHOR colectează date cu caracter personal ţine de prelucrări ale
informaţiilor pe baza cărora să se poată lua decizii coerente şi corecte în managementul sistemului
educaţional. Deşi actul educaţional pentru învăţământul obligatoriu este gratuit, persoanele fizice
sunt obligate să furnizeze o serie de date obligatorii (informaţii despre identitatea persoanei precum
şi a părinţilor sau reprezentanţilor legali, acceptul monitorizării video pentru sporirea securităţii în
sistemul educaţional), în cazul prevăzut la secţiunea II, litera a) şi c), acestea fiind necesare în vederea
derulării/iniţierii de raporturi juridice cu ISJ BIHOR, cu respectarea prevederilor legale (de exemplu:
cele privind relaţia cu angajaţii sau cele privind înscrierea în învăţământ sau cele privind evidenţa
rezultatelor şcolare sau a actelor de studii). În cazul refuzului de a furniza aceste date, Ministerul
poate să refuze iniţierea de raporturi juridice, întrucât poate fi pus în imposibilitatea de a respecta
cerinţele reglementărilor speciale in domeniul educaţional, iar în cazul angajaţilor, a prevederilor
dreptului muncii şi dreptului fiscal. De asemenea ISJ BIHOR colectează şi o serie de informaţii care nu
au caracter obligatoriu (de exemplu: adresa de email, telefon) în vederea îmbunătăţirii modului de
comunicare cu elevii, studenţii, părinţii sau reprezentanţii legali ai acestora precum şi pentru
realizarea ulterioară de sondaje statistice (selectarea aleatoare a unui eşantion şi administrarea unui
chestionar relativ la aspectele educaţionale) utilizând comunicarea prin sistemul poştei electronice.
In cazul in care persoanele fizice şi-au dat acordul pentru colectarea şi prelucrarea unor datelor cu
caracter opţional, au dreptul ca ulterior sa solicite excluderea din baza de date ISJ BIHOR a acestor
informaţii. Refuzul furnizării şi/ sau prelucrării datelor informaţiilor opţionale poate duce la
imposibilitatea ca ISJ BIHOR să transmită informaţii despre serviciile sale (de exemplu: noutăţi despre
testele naţionale).
b) În situaţiile prevăzute la secţiunea II, litera b) furnizarea datelor este necesara pentru ca
persoanele în cauză să poată beneficia de acces la respectivele categorii de programe de protecţie
socială. Refuzul de a furniza informaţii personale în acest scop poate duce la pierderea calităţii de
beneficiar a programelor de protecţie socială.
c) În situaţiile prevăzute la secţiunea II, litera d) informaţiile cu caracter personal se colectează şi
prelucrează pentru a respecta prevederile legale relativ la înregistrarea operaţiunilor financiar
contabile. Furnizarea informaţiilor din această categorie este obligatorie, refuzul de a le furniza duce
la imposibilitatea de a demara relaţii juridice între MEdCT şi respectivele persoane.
IV. Părţile care au acces la informaţiile cu caracter personal
Informatiile înregistrate sunt destinate utilizării de catre operator şi sunt comunicate numai
următorilor destinatari:
a) In cazul prevazut la secţiunea II, literele a), b), c) şi d): Persoana vizată, reprezentanţii legali ai
persoanei vizate, angajaţi ai operatorului cu drept de acces, împuternicitul operatorului, alte
persoane fizice/juridice care prelucreaza datele personale în numele operatorului, autoritatea
judecatorească, poliţia, Organe de urmarire penală şi alte instituţii abilitate de lege să solicite
informaţii.
V. Drepturile persoanelor a căror date personale sunt colectate şi/ sau prelucrate
La cererea persoanelor fizice ISJ BIHOR confirma dacă prelucrează sau nu date personale, în mod
gratuit, pentru o solicitare pe an. ISJ BIHOR se obligă să rectifice, să actualizeze, să blocheze, să
şteargă sau să transforme în date anonime, în mod gratuit, datele a caror prelucrare nu este
conformă cu prevederile Legii 677/2001.
Conform Legii nr. 677/2001, persoanele fizice beneficiaza de dreptul de acces, de interventie asupra
datelor, dreptul de a nu fi supus unei decizii individuale si dreptul de a se adresa justitiei. Totodata,
au dreptul sa se opuna prelucrarii datelor personale care ii privesc si sa solicite stergerea datelor, cu
exceptia situatiilor prevazute de lege cand prelucrarea de catre ISJ BIHOR a datelor este obligatorie.
Pentru exercitarea acestor drepturi, vă puteţi adresa cu o cerere scrisă, datată şi semnată către ISJ
BIHOR sau direct la sediul ISJ BIHOR din Oradea, Str. Mihai Eminescu 11. De asemenea, vă este
recunoscut dreptul de a va adresa justiţiei.
Dacă unele din datele despre dumneavoastră sunt incorecte, vă rugăm să ne informaţi cât mai
curând posibil.