GDPR – revoluce v ochraně osobních údajů?

Již 25. 5. 2018 nabývá účinnosti Obecné nařízení o ochraně osobních údajů (angl. „GDPR“, zkratka General Data Protection Regulation). Pokud budete hledat celé znění, oficiální název zní: Nařízení Evropského parlamentu a Rady (EU) 2016/679 ze dne 27. dubna 2016 o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES (obecné nařízení o ochraně osobních údajů).

Nařízení přináší nový právní rámec pro ochranu osobních údajů, který je stejný pro celou EU.  Zavádí novinky, které zpřísňují pravidla pro zpracování osobních údajů a tím posilují jejich ochranu. Dotkne se téměř všech podnikatelů, ale také škol a úřadů. Vysoká bude nejen nákladnost přijetí jeho zavedení, ale také sankce za jeho porušení.

V oblasti podnikání se nařízení uplatní na všechny podnikatele, ať již zpracovávají údaje zaměstnanců, dodavatelů, klientů či kterýchkoliv občanů EU. Jeho dopad se projeví například i u provozovatelů dnes tak rozšířených e-shopů i poskytovatelů služeb po internetu.

A jaké přinese vlastně toto nařízení změny?

Projeví se především požadavkem na zvýšení zabezpečení osobních dat. Pro velké zpracovatele osobních dat zavádí povinnost vést záznamy o zpracovávání osobních údajů či povinnost jmenovat pověřence pro jejich ochranu, který bude mít za úkol sledovat soulad zpracování s nařízením.

Za osobní údaje budou považovány i tzv. soubory cookies, uplatňující se v oblasti reklamy. Bude‑li je chtít provozovatel webu použít, bude muset od návštěvníka získat souhlas. Dosud lze cookies používat do té doby, než s jejich použitím není vysloven nesouhlas.

Nařízení dále stanoví tvrdší požadavky ohledně „informovaného souhlasu“ se zpracováním osobních údajů. Tento již nebude moci být součástí obchodních podmínek.

Zavádí se nově některá práva, například právo být zapomenut. To znamená právo osoby požadovat po provozovateli internetových stránek, aby ze stránek vymazal informace o ní. Samozřejmě za určitých konkrétních podmínek.

Sankce? Ano, Nařízení GDPR umožňuje, aby ten, kdo poruší své povinnosti, dostal pokutu až do výše 20 mil EUR, příp. do výše 4 % celkového čistého obratu.

Na dotaz Úřadu pro ochranu osobních údajů by měl být každý schopen říci, jaké údaje zpracovává, zda k nim má náležitý právní titul, tedy zákon, smlouvu nebo souhlas subjektu, a jakým způsobem je zabezpečuje. Jinak řečeno je nutné starat se o osobní údaje ať už v podobě papírové dokumentace, zašifrovaného disku, či uložení dat prostřednictvím zabezpečených cloudových služeb.

Chcete se dozvědět více? Navštivte některé ze školení na toto téma realizované vzdělávací společnosti Alavia Education s.r.o.

Napsat komentář