I dataskyddsförordningen finns ett antal grundläggande principer. Dessa måste alltid vara uppfyllda för all personuppgiftshantering inom skolan.
Principerna innebär bland annat att den personuppgiftsansvariga
måste stödja sig på minst en rättslig grund för att få behandla personuppgifter
ska vara tranparent med vilka personuppgifter som behandlas
bara få samla in personuppgifter som behandlas
bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
inte ska behandla fler personuppgifter än vad som behövs för ändamålen
ska se till att personuppgifterna är riktiga
ska radera personuppgifterna när de inte längre behövs
ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
ska kunna visa att man följer dataskyddsförordningen, och på vilket sätt man gör det.