Jaké přesně to bude dále vypadat a o co konkrétně jde?
Co je GDPR?
Obecné nařízení o ochraně osobních údajů (angl. General Data Protection Regulation neboli GDPR) je nová revoluční legislativa EU, která výrazně zvýší ochranu osobních dat občanů.
Záměrem zákonodárců bylo dát evropským občanům větší kontrolu nad tím, co se s jejich daty děje. Proto GDPR zavádí astronomické pokuty za porušování nových, přísnějších pravidel a nařizuje větším zpracovatelům dat zřídit nezávislou kontrolní funkci DPO (Data Protection Officer, tj. Pověřenec pro ochranu osobních údajů). Úkolem DPO bude dohlížet na řádné zacházení s osobními daty a hlásit možné úniky dat či porušení zákona.
Jaké změny GDPR přinese?
GDPR zavádí celou řadu nových pravidel. Jejich platnost a dodržování bude muset každý správce i zpracovatel osobních údajů prokazatelně doložit po celou dobu zpracování. Přibude mu tím velká administrativní zátěž, bude muset například dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.
Je pravdou, že řada mechanismů, které GDPR obsahuje, je nám již známa z dosavadní právní úpravy. Zavádí však i nové povinnosti, mj. pro zpracovatele údajů, kteří byli dosud kryti subjektem správce údajů.
GDPR dává lidem, kterým údaje patří (těm říká subjekty údajů), do rukou nová práva. Kromě toho, že budou muset být o svých právech důkladně informováni, pak budou moci po správcích údajů vyžadovat něco, co doposud nemohli. Jde například o právo vznést námitku proti zpracování, kdy správce po takové námitce nebude moci údaje dále zpracovávat, nebude-li k tomu mít závažné, prokazatelné důvody; či o právo na přenositelnost osobních údajů od jednoho správce k druhému, jestliže jsou údaje zpracovávány automatizovaně. Žadatel by své osobní údaje měl v takovém případě získat ve strukturovaném, strojově čitelném formátu.
Občan by měl rovněž mít přístup k údajům, které jsou o něm shromažďovány, a tento přístup by měl být ideálně přímý a online. Naprosto novým elementem je právo na výmaz a jeho rozšíření na právo být zapomenut, díky kterému může osoba požadovat, aby byly bez zbytečného odkladu vymazány její osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.
S GDPR dochází také k rozšíření definice osobních údajů. Nově sem spadají i technické parametry jako e-mail, IP adresa nebo tzv. cookie v zařízení uživatele. Nová je kategorie tzv. genetických a biometrických údajů, jejichž zpracování bude podléhat přísnějšímu režimu.
Největším strašákem se pro mnohé stane oznamovací povinnost v případě narušení bezpečnosti údajů. Už by se tedy nemělo stávat, že se o kauzách masivních úniků osobních dat dozvídáme až s odstupem několika let, jako se stalo např. v kauze společnosti Yahoo. Nově bude muset zpracovatel ohlásit únik či ohrožení zabezpečení osobních dat Úřadu pro ochranu osobních údajů nejpozději do 72 hodin od okamžiku, kdy se o incidentu dozvěděl. V některých případech bude muset také informovat osoby a subjekty, kterých se únik týkal.
Kdo je zodpovědný za data?
„Odpovědnost za osobní data má společnost, která takováto data zpracovává nebo schraňuje. Za konkrétní únik je ale vždy zodpovědná konkrétní osoba. Pokud někdo svým jednáním někoho poškodí, ať už záměrně nebo neúmyslně, vždy mohl a může být poháněn k zodpovědnosti a k náhradě škody,“ uvádí Dagmar Mikulová z Počítačové školy Gopas. „Pokud organizaci vznikne škoda, bude se snažit najít viníka. Prokázání konkrétního činu je ale většinou v praxi velmi problematické.“
Chcete více informací (zdroj)?
Zde naleznete souhrnné informace: GDPR
