De GDPR/AVG voorziet in een aantal rechten die iedere betrokkene kan uitoefenen ten aanzien van de onderwijsinstelling.
Elke betrokkene heeft een aantal rechten. In de privacyverklaring staan de rechten van de betrokkenen en hoe ze de rechten kunnen uitoefenen.
De GDPR-verordening voorziet de leerlingen, de ouders en de personeelsleden van een aantal rechten (hoofdstuk III GDPR). De rechten zijn:
- recht op informatie (art 13);
- recht op inzage (art 15);
- recht op verbetering (art. 16);
- recht op gegevenswisseling (art. 17);
- recht op de beperking van de verwerking (art. 18);
- recht op overdraagbaarheid van gegevens (art. 20);
- recht van bezwaar (art. 21);
- recht om niet te worden onderworpen aan een geautomatiseerde verwerking (art. 22);
- recht om zijn toestemming in te trekken ( art. 7, lid 3).
De verwerkingsverantwoordelijke faciliteert de uitoefening van de rechten van de betrokkenen.
Het school-, internaat- en centrumbestuur zorgt ervoor dat de betrokkenen hun rechten kunnen uitoefenen. Daarvoor worden er procedures en richtlijnen opgesteld. De richtlijnen en procedures zijn een onderdeel van het IVP-beleid (informatieveiligheid- en privacybeleid). Elk bestuur moet een IVP-beleid opstellen en goedkeuren (art. 5(2), 12(2), 24 en 32 GDPR).
Het aanspreekpunt informatieveiligheid communiceert naar de personeelsleden de richtlijnen en procedures in verband met de rechten. Het aanspreekpunt volgt de procedures op en verbetert ze indien nodig. De richtlijnen en procedures zijn een onderdeel van het IVP-beleid (informatieveiligheid- en privacy beleid.
De personeelsleden werken mee bij het uitoefenen van de rechten van de betrokkene zoals het recht tot inzage, recht tot verbetering, recht om vergeten te worden, recht om zijn toestemming in te trekken …
Een onderwijsinstelling moet:
- via de privacyverklaring de betrokkenen informeren over hun rechten en hoe ze de rechten kunnen uitoefenen (art. 12(2) GDPR);
- richtlijnen en procedures voorzien in verband met het uitoefenen van de rechten (art. 12(2) GDPR);
- de personeelsleden bewustmaken en opleiden in verband met de rechten van de betrokkene (art. 39(b) GDPR).