O GDPR (General Data Protection Regulation – obecné nařízení o ochraně osobních údajů) se mluví již více než rok. Jedná se o novou legislativu EU, která si klade za cíl zvýšit ochranu osobních dat. Schválena byla už v dubnu loňského roku a v platnost vejde v následujícím květnu. Přesněji 25. 5. 2018. Jste na to již připraveni?

GDPR nařízení se budou vztahovat na všechny členské země EU, všichni si tedy slibují, že se konečně sjednotí pravidla v jednotlivých státech. GDPR by podle zákonodárců mělo umožnit občanům mít větší kontrolu nad tím, co se děje s jejich daty, pro jednotlivce se tedy jedná o velmi vstřícný krok. Hůře jsou na tom firmy. EU slibuje astronomické pokuty za nedodržování pravidel, mnozí podnikatelé přitom ještě stále netuší, co by měli od příštího května dělat jinak.

Kdo by se měl novými nařízeními znepokojovat?

Úplně všechny firmy, které nějakým způsobem nakládají s osobními údaji zaměstnanců, zákazníků či dodavatelů. Jedná se o podniky ze zdravotního sektoru, bankovní instituce, veřejnou správu i e-shopy. GDPR se vztahuje rovněž na všechny, kteří analyzují nebo sledují chování uživatelů na webu. Organizace s méně než 250 zaměstnanci, jež neoperují s osobními údaji ve větším rozsahu, mají situaci trochu zlehčenou, části GDPR nařízení se na ně nevztahují. Ptáte se, co to znamená „ve větším rozsahu“? Kdo si není jistý, zda se na něj GDPR vztahuje, může si nechat zpracovat GDPR audit pro zhodnocení individuální situace.

Co se přesně změní?

Abychom vás jenom neděsili, musíme uznat, že řada nařízení u nás fungovala i doposud. Těch nových je však nemálo. Firmy budou muset důkladně informovat majitele údajů o jejich právech. Majitel informací bude moci například vznést námitku proti zpracování. Lidé budou muset mít přímý přístup k údajům, aby se mohli podívat, co o nich kdo shromažďuje. Nově se změní také chápání osobních údajů, budou pod ně spadat i e-mail, IP adresa a cookies. Organizace budou mít také povinnost do 72 hodin oznámit odcizení osobních údajů, aby se nestávalo, že podobné kauzy vyplynou na povrch až po několika letech.

Jaké povinnosti budou firmy mít?

Budou muset vést záznamy o činnostech zpracování, ohlašovat porušení zabezpečení Úřadu pro ochranu osobních údajů a majitelům dat, stanovit pověřence pro ochranu osobních údajů atd. Povinností je vícero, na internetu najdete mnoho zdrojů, které se jim věnují a lépe je popisují. Případně se podívejte na kompletní znění GDPR česky.

Jestliže GDPR zazdíte, nebo jej budete porušovat, čekají vás poměrně vysoké pokuty. V některých případech mohou být zajisté likvidační, jelikož se jedná o částky až do výše 20 000 000 eur nebo 4 % z ročního obratu společnosti (bere se vyšší možnost). I společnost s pěti zaměstnanci může dostat pokutu, jestli nebude dodržovat GDPR nařízení.