Обществените съвети се създават на основание разпоредбите на Закона за предучилищно и училищно образование (ЗПУО). В чл. 265 от ЗПУО се посочва целта на функционирането на тези съвети: създаване на условия за активни и демократично функциониращи общности към всяка детска градина и всяко училище. Общественият съвет е орган за подпомагане на развитието на детската градина и училището и за граждански контрол на управлението им, като условията и редът за създаването, устройството и дейността на обществения съвет се уреждат с Правилник, приет от министъра на образованието и науката (Правилник за създаването, устройството и дейността на обществените съвети към детските градини и училищата, Обн.ДВ, бр.75/2016г.).
При анализ на нормативно регламентираните функции на Обществените съвети се установява, че по правило те изпълняват задачите си, без да се налага обработване на лични данни. Разбира се, по изключение, съобразно спецификата на конкретен случай, е възможно на членовете на Обществените съвети да станат известнилични данни във връзка с постъпили предложения, искания от родители, учители, ученици или съответното училищно ръководство.
Независимо от това обаче Общественият съвет няма качеството на отделен администратор на лични данни по смисъла на дефиницията на понятието, разписана в чл.4, т.7 от Регламент(ЕС)2016/679, доколкото обработването на такива данни не е предпоставка за изпълнение на неговите функции по закон. Общественият съвет не събира и не съхранява лични данни, структурирани в регистър с лични данни за целите на своята дейност, а наличието на такъв регистър е абсолютно задължителна предпоставка за определяне на една или друга структура като администратор на лични данни.
В този смисъл Обществените съвети нямат и качеството на съвместни администратори на лични данни с училището/детската градина, към които са създадени.
Обществените съвети не са и обработващ лични данни, тъй като не обработват такива данни от името на администратора, а упражняват функциите си по закон напълно самостоятелно с възможност за упражняване на контрол върху дейността на образователната институция (вж.чл.269 от ЗПУО). В отношенията администратор-обработващ контролът се осъществява от администратора.
При евентуална необходимост от достъп до лични данни за изпълнение на своите задължения, Обществените съвети се явяват трета страна– получател на данните. Необходимостта от обработването на данните, категориите лични данни и техния обем, както и целите, за които данните биха се предоставили в конкретен случай на Обществените съвети, се определят от администратора на лични данни– училището или детската градина, към които са създадени. Този извод се подкрепя от чл.16, ал.2 от Правилника за създаването, устройството и дейността на обществените съвети към детските градини и училищата, който допуска Общественият съвет да дава становища и по други въпроси по искане на директора, на педагогическия съвет, на регионалното управление на образованието или на съответния министър– първостепенен разпоредител с бюджет. Когато даването на становище предполага запознаване с лични данни, преценката за това до какви данни е необходимо да се осъществи достъпът и с какви изисквания за гарантиране на тяхната сигурност, остава отговорност на съответния администратор, който ги предоставя. В тази връзка е необходимо членовете на Обществените съвети да поемат задължение за неразгласяване на лични данни, станали им известни при изпълнение на функциите им на орган за подпомагане развитието на образователната институция и за граждански контрол на управлението й. Това може да стане с подписването на декларация в посочения смисъл, която да се съхранява от съответната образователна институция, къмкоято са създадени. Освен това следва да се има предвид, че по силата на чл.26 от Правилника за създаването, устройството и дейността на обществените съвети към детските градини и училищата „кореспонденцията и документите за дейността на обществения съвет се съхраняват в детската градина или училището на място, определено от директора”. Това изключва възможността обществените съвети да определят средствата за обработване и съхранение на личните данни, до които евентуално биха могли да имат достъп. Задължение е на администратора на лични данни (съответната образователна институция) да уреди във вътрешната си политика за защита на личните данни правилата, на които се подчинява достъпът на членове на Обществените съвети до лични данни и свързаните с това технически и организационни мерки за сигурност. В регистъра на дейностите по обработване, поддържан от съответното учебно заведение на основание чл.30, пар.1 от Регламент(ЕС)2016/679, Обществените съвети следва да бъдат посочени като получател на данните, а субектите на данни (ученици, родители, педагогически и непедагогически състав) следва да бъдат информирани за това обстоятелство, с представяне в цялост и на информацията за параметрите на обработване по чл.13 и чл.14 от Регламента.
Важно е да се отбележи също така, че членовете на Обществените съвети се явяват субекти на данни, чиито данни образователните институции обработват. Те също имат право на информацията по чл.13 и чл.14 от Регламента по отношение обработването на тяхната лична информация.
Предвид горното, следва да се има предвид, че за евентуалното обработване на лични данни от страна на Обществените съвети не е необходимо уреждането на отношенията между тях и училищата да става с писмен договор или друг съвместен акт. Това не отменя изискването при предоставянето на конкретен достъп до лични данни, да се държи сметка за необходимостта и пропорционалността на предоставените данни, съобразно конкретните нормативно определени функции на Обществените съвети. Спазването на принципите за защита на личните данни е отговорност на съответната образователна институция.
КЗЛД многократно се е произнасяла по въпроси, свързани с разясняването на фигурите на администратор на лични данни, обработващ лични данни, както и съвместни администратори. На сайта на Комисията www.cpdp.bg може да се намери допълнително информация и становища по поставени подобни въпроси.