Warto pamiętać, że przetwarzaniem danych osobowych są jakiekolwiek operacje wykonywane na danych osobowych, takie jak zbieranie danych, przechowywanie danych, usuwanie danych, opracowywanie danych, udostępnianie danych. RODO wprowadza tzw. zasadę minimalizacji danych osobowych. Zgodnie z nią, można przetwarzać wyłącznie takie dane osobowe, które są niezbędne do osiągnięcia celu przetwarzania danych.
Jedną z szeroko omawianych zasad wprowadzonych przez RODO jest prawo do bycia zapomnianym. Jest to jedno z nowych uprawnień przyznanych przez RODO osobom, których dane dotyczą. Prawo to składa się z dwóch uprawnień:
a) możliwości żądania przez osobę, której dane dotyczą, usunięcia jej danych osobowych przez administratora danych,
b) możliwości żądania, aby administrator danych poinformował innych administratorów danych, którym upublicznił dane osobowe, że osoba, której dane dotyczą, żąda, by administratorzy ci usunęli wszelkie łącza do tych danych lub ich kopie.
Placówki oświatowe posiadają prawo do przetwarzania danych osobowych, które wynika przede wszystkim z przepisów prawa powszechnie obowiązującego takich jak Prawo Oświatowe. Są jednak takie informacje, do przetwarzania których szkoły winny pobierać zgody. Należy pamiętać, że RODO wprowadza nowe zasady udzielania zgody na przetwarzanie danych osobowych dotyczące m.in. wyrażania i wycofywania zgody na przetwarzanie danych. Otóż choćby wycofanie zgody musi być tak samo łatwe, jak jej udzielenie.
Szkoły od 2018 roku powinny w większym zakresie zadbać o bezpieczeństwo przetwarzanych danych. Administratorzy winni byli wdrożyć nowy zespół środków technicznych i organizacyjnych, aby zapewnić odpowiedni poziom bezpieczeństwa. Pociągało to za sobą konieczność aktualizacji dokumentacji, w tym przede wszystkim: polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym.
RODO precyzuje również dodatkowe obowiązki informacyjne, dlatego konieczne stało się posiadanie odpowiednio opracowanych dokumentów przedstawianych osobom, od których zbierane są dane. W dokumentach należy określić, kto i w jakim celu będzie przetwarzał dane osobowe oraz poinformować o podstawie prawnej gromadzenia danych i konsekwencjach, jakie wiążą się z nieudzieleniem informacji. Dodatkowo, jeśli chodzi o kwestie bezpieczeństwa, RODO nałożyło na administratorów danych obowiązek zgłaszania do właściwego organu przypadków naruszeń, które mogą skutkować zagrożeniem praw i swobód osób, których dane gromadzono – administrator ma na to 72 godziny od wykrycia naruszeń, a wszystkie przypadki naruszeń muszą zostać udokumentowane.