Zákon školám, respektive jejich zřizovatelům, ukládá zabezpečit osobní údaje dětí, žáků, zaměstnanců a dalších osob, k jejichž zpracování dochází v rámci činností školy. Bezpečnost při ukládání osobních dat by měla hrát prim, neboť jsou ve velké míře zpracovávány údaje dětí.
Přestože jsou děti legislativou v dané oblasti považovány za subjekty s vysokou mírou zranitelnosti, správci ochraně a bezpečnosti dat často nevěnují přiměřenou pozornost. To je jedním z důvodů, proč se školská zařízení stala zájmovým objektem při plánování kontrol Úřadu pro ochranu osobních údajů.
Při zavádění a udržování ochrany osobních údajů ve škole je zásadní znalost obecného nařízení GDPR a zákona č. 110 Sb., o zpracování osobních údajů. Pro skutečně efektivní ochranu je však také vhodná znalost postupů pro zajištění kybernetické bezpečnosti. To podtrhuje fakt, že školy stále častěji používají informační a komunikační technologie (dále jen ICT) pro automatizaci a možnost dálkového provádění různých činností. Příkladem jsou docházkové systémy, systémy pro vyzvedávání žáků, elektronické žákovské knížky, elektronické třídní knihy, různé aplikace pro rodiče apod. Kybernetická bezpečnost je klíčová, neboť všechny tyto informační systémy obsahují osobní data. Je tedy třeba posoudit úroveň technické bezpečnosti jednotlivých prvků ICT a jejich propojení, což lze brát jako určitý test kybernetické bezpečnosti.
Oblast školství obsahuje z pohledu ochrany osobních údajů řadu specifik. Tím je například pořizování a zveřejňování fotografií dětí, které se primárně řídí ustanoveními občanského práva o ochraně soukromí. Je ovšem třeba posoudit konkrétní způsob provedení pro posouzení, zda jde o zpracování osobních dat, či nikoliv. Kamenem úrazu ve školním prostředí jsou také často kamerové systémy, jejichž bezpečnostní aspekty je třeba posoudit (například i pomocí gap analýzy kamerových systémů) a přijmout opatření k ochraně záznamů.
Zavedení systému ochrany osobních údajů ve školských zařízeních je tedy poměrně složitý a časově náročný úkol. Bývá jím nejčastěji pověřen zástupce školy. Pro tohoto zaměstnance je to často náročná povinnost nad rámec jeho hlavní pracovní náplně. NGSS má bohaté zkušenosti s ochranou osobních údajů ve školách všech typů. Zaměstnanci pověřenému ochranou osobních údajů poskytne znalosti práva ochrany osobních údajů i kybernetické bezpečnosti, oboje aplikované v oblasti školství. Pomůže mu vypracovat a zavést postupy pro zajištění souladu s GDPR, případně vypracuje návrhy navazující povinné dokumentace, či provede základní kurzy kybernetické bezpečnosti. Zaměstnanec školy pověřený ochranou osobních údajů je zpravidla manažersky schopná osoba s dobrým přehledem o fungování školy. Pokud se mu dostane výše popsané podpory, je dále schopen udržovat vysokou úroveň zabezpečení osobních údajů vlastními silami.