GDPR la grădiniță: Ce trebuie să știe fiecare director și administrator

GDPR la grădiniță: Ce trebuie să știe fiecare director și administrator

Echipa Kinderbase·

Grădinițele colectează și procesează o cantitate surprinzătoare de date personale: numele copiilor și ale părinților, adrese, numere de telefon, informații medicale, fotografii și videoclipuri. Regulamentul General privind Protecția Datelor (GDPR) impune obligații clare, iar nerespectarea lor poate duce la amenzi semnificative. Iată ce trebuie să știi.

Ce date personale procesează o grădiniță

Lista este mai lungă decât ți-ai imagina:

  • Date de identificare — nume, CNP, certificat de naștere, adresă
  • Date de contact — telefon și email ale părinților, persoane autorizate pentru preluare
  • Date medicale — alergii, afecțiuni cronice, vaccinări, medicamente administrate
  • Date financiare — facturi, plăți, situație financiară (pentru subvenții)
  • Imagini și video — fotografii din activități, evenimente, camere de supraveghere
  • Date comportamentale — rapoarte zilnice, evaluări, observații ale educatoarelor

Consimțământul părinților: ce trebuie și ce nu

Când NU ai nevoie de consimțământ

Procesarea datelor necesare pentru contractul de servicii educaționale (nume, contact, date medicale esențiale) nu necesită consimțământ separat — se bazează pe necesitatea contractuală și pe obligații legale.

Când AI nevoie de consimțământ explicit

Fotografierea și filmarea copiilor, publicarea imaginilor pe site sau rețele sociale, și trimiterea de comunicări comerciale necesită consimțământ explicit, informat și liber. Formularul de consimțământ trebuie să fie:

  • Specific — să precizeze exact scopul (ex: „publicarea de fotografii în aplicația Kinderbase, vizibilă doar părinților grupei")
  • Informat — să explice cine are acces, unde sunt stocate, cât timp
  • Liber — refuzul nu trebuie să aibă consecințe negative asupra copilului
  • Retractabil — părintele poate retrage consimțământul oricând

Fotografiile copiilor: cel mai sensibil subiect

Aceasta este zona în care cele mai multe grădinițe greșesc. Reguli esențiale:

  • Nu publica fotografii pe Facebook sau Instagram fără consimțământ explicit — chiar dacă „toate grădinițele o fac"
  • Grupurile de WhatsApp ale părinților nu sunt un mediu sigur pentru fotografii — odată trimise, nu mai ai control asupra distribuției
  • O platformă închisă (precum Kinderbase) unde accesul este restricționat doar la părinții grupei respective este soluția conformă GDPR
  • Dacă un părinte nu a dat consimțământ, copilul respectiv nu trebuie să apară în fotografii sau trebuie să fie estompat

Obligațiile tale ca operator de date

Registrul de prelucrări

Ești obligat să menții un registru care documentează ce date colectezi, de ce, pe ce bază legală, cine are acces și cât timp le stochezi.

Responsabilul cu protecția datelor (DPO)

Grădinițele publice sunt obligate să aibă un DPO. Cele private, deși nu sunt întotdeauna obligate legal, ar trebui să desemneze o persoană responsabilă intern.

Notificarea breșelor de securitate

Dacă datele sunt compromise (pierdute, furate, accesate neautorizat), ai obligația de a notifica ANSPDCP în 72 de ore și, dacă riscul este ridicat, și părinții afectați.

Drepturile părinților

Părinții au dreptul să solicite acces la datele copilului, rectificarea lor, ștergerea sau portabilitatea. Trebuie să răspunzi în maximum 30 de zile.

Stocarea datelor: unde și cât timp

  • Dosarele copiilor — pe durata frecventării grădiniței + perioada legală de arhivare
  • Camerele de supraveghere — maximum 30 de zile, conform legislației românești
  • Fotografii din activități — pe durata anului școlar sau conform consimțământului
  • Date financiare — conform cerințelor fiscale (5-10 ani)

Un software precum Kinderbase oferă control asupra retenției datelor, cu posibilitatea de a seta politici automate de ștergere la expirarea perioadei stabilite.

Greșeli frecvente de evitat

  1. Trimiterea listelor cu nume pe email necriptat — folosește platforme securizate
  2. Stocarea datelor pe laptop-uri personale fără criptare
  3. Accesul nerestricționat — nu toți angajații au nevoie de acces la toate datele
  4. Absența unei politici de confidențialitate afișate și semnate de personal
  5. Utilizarea aplicațiilor nesecurizate (grupuri WhatsApp) pentru date sensibile

Concluzie

GDPR nu este un obstacol — este o garanție că grădinița ta respectă drepturile familiilor. Cu procese clare, consimțăminte corecte și o platformă digitală securizată, conformitatea devine o parte naturală a administrării. Părinții apreciază grădinițele care iau în serios protecția datelor copiilor lor.

← Inapoi la blog