Vzdělávací instituce sbírají obrovské množství osobních údajů o studentech a zaměstnancích, včetně jmen, emailových adres, fyzických adres, finančních informací a zdravotních informací. Většina organizací v současnosti používá jako základ pro sběr osobních informací souhlas, ale GDPR zpřísňuje pravidla pro zákonný souhlas a dělá z něj v mnoha případech méně než ideální možnost.

Vzdělávací instituce budou jen zřídka muset spoléhat na souhlas a měly by místo něj pro zpracování dat raději použít nějakou jinou ze zákonných možností:

– Smlouvu s jedincem – například pro dodávání zboží nebo služeb, které si vyžádaly, nebo pro splnění závazku vyplývajícího ze zaměstnanecké smlouvy. Toto pokryje kohokoliv zaměstnaného danou institucí, včetně externích zkoušejících a čestných akademických držitelů postu, stejně jako smluvní závazky studentů vůči instituci k jakékoliv příležitosti.

– Souhlas s právním závazkem – je zákonnou povinnosti při zpracovávání dat za určitým účelem

– Životní zájmy – například tam, kde zpracování dat chrání něčí fyzickou integritu nebo život (ať už datového subjektu nebo někoho jiného).

– Veřejný úkol – například ke kompletaci oficiálních funkcí nebo úkolů ve veřejném zájmu. Toto pokrývá veřejné instituce, které typicky zahrnují vzdělávací instituce, ale definice není tak jasná, jak bychom mohli očekávat. Je dobré si s vám nadřazenými autoritami vyjasnit, zda je vaše organizace považována za veřejnou autoritu.

Existuje ještě jeden právní základ – oprávněný zájem – ten se ovšem dá uplatnit pouze organizacemi v soukromém sektoru.

Pravidla pro zpracování dat jsou pouze jednou částí GDPR. Vzdělávací instituce musejí splnit množství úkolů, aby vyhovovaly nařízení GDPR, včetně:

– Aktualizace jejich vnitřních politik pro ochranu dat.

– Udržování adekvátní dokumentace ohledně činností zpracování dat.

– Dosazení zmocněnce pro ochranu dat (DPO).

– Implementace opatření, která splňují principy ochrany od základu.

– Vypracování vyhodnocení o dopadu ochrany dat (tam, kde je to nutné).