Zkratku GDPR už asi viděl každý, kdo se alespoň trochu zabývá ochranou soukromí na internetu. GDPR totiž zkracuje anglická slova „General Data Protection Regulation“, což je česky překládáno jako „Obecné nařízení o ochraně osobních údajů“.
Jedná se o zcela novou legislativní normu Evropské unie, která platí ve všech členských státech EU a také v Lichtenštejnsku, Norsku a na Islandku. GDPR bylo schváleno už 27. dubna 2016, ale účinnost nabyde 25. května 2018.
Proč bylo GDPR potřeba
Nejcitlivější a zároveň také nejcennější komoditou světa jsou informace, zejména informace osobního rázu. Aby se co nejvíce zabránilo možnému neoprávněnému zacházení s daty občanů EU a jejich osobními údaji, byla navržena jednotná pravidla, platící ve všech členských a 3 zmíněných zemích. Evropané tak budou mít větší kontrolu nad tím, co se s jejich daty děje. GDPR bude chránit digitální data všech občanů EU.
Co je zásadně nového
GDPR u nás nahradí dosud platnou směrnici 95/46/ES a navazující zákon č. 101/2000 Sb., o ochraně osobních údajů. Zákon sice zůstane v platnosti, ale bude dále řešit jen to, co GDPR neřeší, například Úřad pro ochranu osobních údajů (ÚOOÚ), případně to, co by i v souladu s GDPR mělo upraveno speciální normou každého státu. Nové nařízení je nejkomplexnější legislativou na ochranu dat, která kdy vznikla, a to celosvětově. GDPR musí respektovat jakákoli firma, instituce i jednotlivec zpracovávající osobní údaje občanů EU. Týká se to i subjektů mimo EU, které na evropském trhu působí nebo chtějí působit.
Všichni větší zpracovatelé budou nově muset zřídit pozici nezávislého kontrolora zacházení s daty, tedy „pověřence pro ochranu osobních údajů“, anglicky „Data Protection Officer“ (zkráceně DPO). Úkolem této osoby bude jednak kontrola zacházení s daty a také hlášení případných úniků dat či jiných porušení zákona. Osobní údaje budou muset jednotlivé subjekty pseudonymizovat, tedy zpracovat je tak, aby už nemohly být přiřazeny žádnému konkrétnímu člověku bez použití dodatečné informace. Ta musí být uchovávána odděleně a chráněná proti opětovnému přiřazení k původním údajům.
Každý občan bude mít větší práva zjistit, jaké údaje jsou o něm shromažďovány, ale bude mít nově právo nejen na výmaz takových údajů, ale také tzv. právo být zapomenut. GDPR mění definici toho, co to osobní údaje jsou. Nově jsou za osobní údaje považovány také e-mail, IP adresa či tzv. cookies soubory v zařízení uživatele (tj. malé množství dat, která webový server pošle prohlížeči a ten je uloží v počítači uživatele). Ještě přísněji než ostatní osobní údaje budou zpracovávány biometrické a tzv. genetické údaje.
Další zásadní změnou bude, že ÚOOÚ bude nově částečně podřízen Evropskému sboru pro ochranu osobních údajů (EDPB). V případě nespokojenosti s rozhodnutím ÚOOÚ bude mít jakýkoli český občan, firma i instituce právo odvolat se právě EDPB.
Koho se GDPR týká
Na GDPR se musí připravit každá firma, jednotlivec nebo instituce, která zachází s osobními údaji svých zaměstnanců, dodavatelů, odběratelů či jiných obchodních partnerů, ale také subjektů sledujících a analyzujících uživatelské chování na webových stránkách, nebo při používání aplikací a také chytrých technologií. Naše osobní data dávno neshromažďují jen smartphony a počítače, ale také zařízení s GPS lokalizací, moderní televize či další vybavení tzv. chytré domácnosti. A všichni, kdo tato data zpracovávají, se musí GDPR podřídit.
Nové nařízení se tak například dotkne naší banky, zdravotní pojišťovny, úřadů, zdravotnických zařízení, která o nás pečují a také e-shopů, kde nakupujeme, a také všech klubů a věrnostních programů, kterým jsme svá data poskytli, tedy všech, u nichž zanecháváme svou digitální stopu.
Podrobnější informace k novému nařízení a jeho aplikace v českých podmínkách najdete na webu ÚOOÚ.