General Data Protection Regulation, ve zkratce GDPR – toto nařízení výrazným způsobem přepracovává legislativu o ochraně osobních údajů a je tak jedním z nejrozsáhlejších právních předpisů, které Evropská unie v posledních letech přijala. Musí být plně zavedeno do května 2018 v celém svém rozsahu ve všech státech EU.
Bude nutné zabezpečit osobní údaje před neoprávněným zpracováním, ztrátou, zničením nebo poškozením. GDPR se bude týkat plošně všech firem, které spravují, shromažďují či zpracovávají osobní údaje občanů Evropské unie. V našem podnikatelském prostředí se tak bude jednat o všechny firmy a jednotlivce, kteří zpracovávají osobní údaje svých zaměstnanců, zákazníků nebo dodavatelů. Každá organizace, která nějakým způsobem zpracovává jakékoliv osobní údaje, by měla provést analýzu stavu, souladu a nedostatků a zahájit projekt pro naplnění změnových požadavků.
Základní výčet konkrétních změn, které GPDR přináší:
- rozšíření pojmu osobní údaj; nově je osobním údajem za určitých okolností i e-mailová adresa, IP adresa, cookies apod.,
- nové pojmy a s nimi spojené povinnosti, jako „pseudonymizace“, „profilování“ a „přeshraniční zpracování“,
- právo subjektu údajů být zapomenut, právo na přenositelnost osobních údajů a právo přístupu k těmto údajům,
- povinnost zajistit, dokumentovat a kontrolovat zabezpečení osobních údajů,
- schopnost včas objevit incidenty, analyzovat je, posoudit a informovat o nich,
- povinnosti v oblastech odpovědnosti, řízení rizik a reportingu; například v určitých případech zavést pozici pověřence pro ochranu osobních údajů (DPO) nebo provádět analýzu rizik formou posouzení vlivu na ochranu osobních údajů (DPIA) či vést dokumentaci týkající se záznamů o činnostech zpracování.