GDPR je obecné nařízení o ochraně osobních údajů, které bylo přijato v dubnu 2016 a jeho účinnost nastává 25. 5. 2018.
Cílem GDPR je v rámci evropského prostoru hájit práva občanů EU při zacházení s jejich daty a osobními údaji. GDPR je zkratka z anglického originálu General Data Protection Regulation. Účinnost obecného nařízení o ochraně osobních údajů platí pro všechny státy EU a Island, Norsko a Lichtenštejnsko. Jeden ze záměrů GDPR bylo také zajištění větší a jednotné ochrany osobních údajů v rámci evropského prostoru.
Koho se týká GDPR
Zjednodušeně se GDPR týká všech subjektů ať firem, institucí, online služeb, ale i jednotlivců, které zpracovávají data o Evropanech.
Nová kontrolní funkce DPO
Pro větší zpracovatele dat je povinné zřídit nezávislou kontrolní funkci DPO (Data Protection Officer). Volně by se tato funkce dále přeložit jako pověřenec pro ochranu osobních údajů.
Co subjekty v rámci GDPR nemine:
- Implementace záměrné a nezbytné ochrany dat.
- Vypracování posouzení vlivu na ochranu osobních údajů(DPIA neboli Data Protection Impact Assessment).
- Jmenování pověřence pro ochranu osobních údajů neboli DPO – je nutný jen za jistých podmínek.
- Zavedení tzv. pseudonymizace osobních údajů.
- Vedení záznamů o činnostech zpracování.
- Konzultace s dozorným orgánem před samotným zpracováním osobních údajů.
GDPR pokuty a sankce
Při porušení, nezavedení či nepřipravenosti na pravidla GDPR mohou hrozit subjektům astronomické pokuty.
Maximální výše pokuty je 20.000.000 EUR nebo 4 % z celkového ročního obratu společnosti (bere se vyšší z možností). Výše pokuty závisí na několika faktorech jako je délka porušování, počet poškozených občanů, kategorie osobních údajů a řada dalších.
Důležitou informací pro české podnikatele je, že maximální pokuta může být udělena jak malé společnosti s pár zaměstnanci, tak nadnárodní korporaci. Navíc mohou být subjekty spravující či zpracující osobní údaje vystaveni žalobě, kterou podají fyzické osoby o jejichž se jednalo data a osobní údaje.
Co nového GDPR přináší:
- Možnost vznést námitku. Správce po námitce (například proti zpracování údajů) nebude moci dále údaje zpracovávat, bez prokazatelně závažných důvodů.
- Přístup k údajům (platí pro lidi), které jsou o lidech shromažďovány. Přístup by měl být online.
- Právo výmazu a právo být zapomenut. Díky rozšíření na právo být zapomenut, může osoba požadovat, aby bez zbytečného odkladu byly vymazány osobní údaje, jestliže neexistuje právní důvod pro jejich zachování.
- Nově do osobních údajů patří i technické parametry, jako je IP adresa, e-maily či cookies.
- Oznamovací povinnost v případě, že dojde k úniku nebo ohrožení zabezpečení osobních dat. Oznamovací povinnost bude zpracovatel dat oznamovat nejpozději do 72 hodin na Úřad pro ochranu osobních údajů. Díky tomuto se kauzy o úniku dat nedostanou na povrch po měsících až letech, ale téměř okamžitě.
