Příští rok vstoupí v platnost Obecné nařízení na ochranu osobních údajů (General Data Protection Regulation – GDPR). Jedná se o aktuálně nejkomplexnější soubor pravidel na ochranu dat a týká se každého subjektu, který shromažďuje nebo zpracovává osobní údaje občanů EU, bez ohledu na jeho geografickou lokalitu.

Nařízení se i v Česku dotkne prakticky všech firem, nebo jednotlivců, kteří zpracovávají osobní údaje zaměstnanců, zákazníků, klientů či dodavatelů. Současná legislativa EU z roku 1995, kterou se doposud řídily zákony na ochranu osobních údajů, je zastaralá a nedokáže se efektivně vypořádat s moderními fenomény, jako jsou například sociální sítě či cloudová úložiště. GDPR začne být v celé EU účinné od května 2018. Protože byla nová pravidla přijata formou nařízení, budou platit ve všech státech EU jednotně. Tedy i u nás.

GDPR přináší řadu nových pravidel. Jejich dodržování bude muset být zpracovatel schopen doložit po celou dobu. Přibude mu tím velká administrativní zátěž, bude například povinen dokumentovat, že zpracovává pouze ta data, která jsou ke konkrétnímu účelu nezbytná.

Nová klasifikace osobního údaje

Nová regulace také rozšiřuje pojem „osobní údaj“. Tem bude zahrnovat například i e-mailovou adresu, IP adresu či soubory cookie. Nově je zavedena klasifikace genetických a biometrických údajů, jejichž zpracování bude vyžadovat přísnější režim. Rozsáhlé změny nastanou také v oblasti pojetí souhlasu ke zpracování osobních údajů. Naprostou novinkou pak bude tzv. právo být zapomenut, kdy může každý požadovat, aby byly bez zbytečného odkladu vymazány jeho osobní údaje, pokud neexistuje právní důvod pro jejich další zpracování.