Škola a školské zariadenie môžu spracúvať osobné údaje o žiakoch a ich zákonných zástupcoch na základe viacerých právnych základov podľa GDPR. Škola a školské zariadenie spracúvajú osobné údaje o žiakoch a zákonných zástupcoch bez súhlasu dotknutých osôb len na konkrétne určený, výslovne uvedený a oprávnený účel a iba v prípadoch, ak im to ustanovuje osobitný zákon.
Hlavným právnym základom je plnenie zákonnej povinnosti (napr. v súvislosti s evidenciou žiakov, vedením školských záznamov, podávaním správ orgánom verejnej správy). Ďalej môžu spracúvať údaje na základe zmluvy (napr. pri organizovaní školských akcií), ochrany životne dôležitých záujmov (napr. v prípade núdzových situácií) alebo na základe výkonu verejnej moci (ak to vyžaduje verejný záujem). Spracúvanie osobných údajov sa musí vykonávať v súlade s príslušnými právnymi predpismi, ako je zákon o výchove a vzdelávaní alebo iné špecifické predpisy.
