Obecné nařízení o ochraně osobních údajů (dále též GDPR) je EU legislativa, která vstoupí v účinnost dne 25. 5. 2018. Cílem této právní normy je maximálně chránit práva občanů EU proti neoprávněnému zacházení s jejich daty a osobními údaji. Obecné nařízení je platné pro všechny státy Evropské unie (včetně Islandu, Norska a Lichtenštejnska). V českém právním prostředí Obecné nařízení nahradí od 25. května 2018 zákon č. 101/2000 Sb., o ochraně osobních údajů.
GDPR v mnohém navazuje na stávající českou legislativu, v mnoha aspektech ji však rozšiřuje. Obecné nařízení definuje povinnosti správců a zpracovatelů osobních údajů a deklaruje práva subjektů údajů. Zcela novým institutem je pak zřízení funkce Pověřence pro ochranu osobních údajů, které bude povinné pro všechny veřejné subjekty a pro vybrané správce a zpracovatele. Další novou povinností správce je hlásit všechny bezpečnostní incidenty s osobními daty dozorovému orgánu do 72 hodin. V neposlední řadě zavádí nová legislativa přísné sankce za porušení pravidel GDPR a to až ve výši 20 mi. EUR.
Problematika ochrany osobních údajů ve školách je oblast legislativně a metodicky nedotčená. Na školy, jako veřejné instituce a zaměstnavatele, se stejně jako na komerční firmy vztahuje Obecné nařízení o ochraně osobních údajů (GDPR). Specifikum škol z pohledu ochrany osobních údajů spočívá zejména v:
Školám, jako veřejným institucím ukládá Obecné nařízení zavést pozici Pověřence pro ochranu osobních údajů a kompletně upravit vnitřní procesy tak, aby ochrana osobních údajů plně vyhovovala GDPR.
V rámci vzdělávacích a výchovných činností školy shromažďují obrovské množství osobních dat. Aby se škola vyhnula porušení legislativy ochrany osobních údajů (GDPR) a tím i obrovským pokutám, je třeba identifikovat, jaká data školy zpracovávají a jaký je právní důvod pro jejich shromažďování, stejně jako nastavit procesy pro bezpečnou práci s daty a jejich uchovávání.