Od 25. mája 2018 budú všetky spoločnosti a všetky ďalšie osoby vystupujúce ako prevádzkovatelia alebo sprostredkovatelia usadené v Európskej únii povinne dodržiavať nové európske nariadenie o ochrane osobných údajov a o voľnom pohybe takýchto údajov.
GDPR sa nebude týkať len osôb usadených priamo na území Európskej únie, ale každého, kto bude spracúvať osobné údaje fyzických osôb pohybujúcich sa v Európskej únii.
Pod pojem osobný údaj je pre Vašu predstavu možné zahrnúť napríklad mená a priezviská, rôzne identifikačné čísla, lokalizačné údaje, dátumy narodenia a rodné čísla, fotografie, e-mailové adresy, profily na sociálnych sieťach, online identifikátory ako IP adresy, cookies, biometrické údaje, údaje o zdraví, záznamy z kamier, údaje o organizovaní zamestnancov v odboroch. Podstata celého pojmu „osobný údaj“ spočíva v tom, že dotknutá osoba môže byť na základe predmetných údajov identifikovaná alebo identifikovateľná.
Obsahom GDPR je v skratke právna regulácia postupov spracúvania osobných údajov, ktorá bude z drvivej väčšiny unifikovaná pre celé územie Európskej únie.
Čo konkrétne nájdete v 173 bodoch recitálu a 99 článkoch tohto európskeho nariadenia? V prvom rade sú to základné pojmy a definície jednotlivých pojmov ako prevádzkovateľ, sprostredkovateľ, príjemca, tretia strana či informačný systém. Nariadenie ďalej upravuje právne základy spracúvania osobných údajov, čo znamená právny tituly, na základe ktorých ste oprávnený osobné údaje spracúvať, ako napríklad súhlas dotknutej osoby. Medzi ďalšie dôležité obsahové časti patria náležitosti súhlasu oprávnenej osoby so spracúvaním osobných údajov a obsah informačnej povinnosti voči dotknutej osobe, zhrnutie a konkretizácia práv dotknutej osoby a povinností osoby oprávnenej osobné údaje spracúvať, náležitosti zmluvy o spracúvaní osobných údajov uzatváranej medzi prevádzkovateľom a sprostredkovateľom a predpoklady pre bezproblémový cezhraničný tok osobných údajov predovšetkým mimo územie EÚ, dovolené spracovateľské činnosti vo vzťahu k osobným údajom a posúdenie ich vplyvu na ochranu osobných údajov, zoznam nevyhnutných bezpečnostných opatrení a náležitosti týkajúce sa zodpovednej osoby, možnosti certifikácie v oblasti ochrany osobných údajov a podrobnosti pre určenie one-stop-shop.
V neposlednom rade Vás budú zaujímať všeobecné podmienky pre ukladanie pokút, ktoré môžu za určitých okolností dosiahnuť až 20 miliónov eur alebo 4 % celosvetového ročného obratu za predchádzajúci rok.
GDPR nie je jediným právnym predpisom vo vzťahu k ochrane osobných údajov, pribudnú k nemu ďalšie zákony a podzákonné normy ako napr. vyhlášky na ochranu osobných údajov, ktoré prijme každý členský štát EÚ separátne. Ďalšími dôležitými (avšak nezáväznými) dokumentami sú odborné stanoviská pracovnej skupiny A29 WP, ktoré prispejú k jednotnému výkladu a aplikácii nových európskych pravidiel pre ochranu osobných údajov naprieč celou Európskou úniou.
Zdroj: Nariadenie Európskeho parlamentu a Rady (EÚ) 2016/679 zo dňa 27. apríla 2016 o ochrane fyzických osôb v súvislosti so spracovaním osobných údajov a o voľnom pohybe týchto údajov a o zrušení smernice 95/46/ES