Evropská komise zveřejnila pokyny, které mají od 25. května umožnit přímé a bezproblémové uplatňování nových pravidel na ochranu údajů v celé Evropské unii. Obecné nařízení o ochraně osobních údajů neboli GDPR má za úkol posílit ochranu osobních údajů fyzických osob v Evropské unii a odstranit rozdíly v národních úpravách členských států.
„Nové nařízení sice stanoví jednotný soubor pravidel přímo použitelných ve všech členských státech, přesto bude v některých aspektech vyžadovat značné úpravy, jako jsou změny stávajících zákonů ze strany členských států či zřízení Evropského sboru pro ochranu osobních údajů. Pokyny rekapitulují hlavní inovace a příležitosti, které se díky novým pravidlům naskýtají, shrnují dosavadní průběh přípravných prací a uvádějí, co musí Evropská komise, vnitrostátní orgány pro ochranu údajů a další orgány v členských zemích ještě vykonat,“ uvádí Evropská komise ve své tiskové zprávě.
GDPR se týká každého, kdo jakýmkoli způsobem zpracovává osobní data jiných lidí. Za porušení pravidel budou hrozit pokuty až do výše 20 miliónů eur, či 4 % ročního globálního obratu firmy.
Nařízení o ochraně fyzických osob zásadně mění pojetí souhlasu se zpracováním osobních údajů. Jako doposud bude muset být svobodný, určitý, informovaný a jednoznačný. Žádost o souhlas bude nutné formulovat tak, aby jí bylo jasně porozuměno. Pokud uvedeme příklad v podobě uzavírání smlouvy, souhlas se zpracováním údajů bude nutné oddělit tak, aby bylo jasné, že není bezpodmínečně nutný k uzavření dané smlouvy.
Záznamy o činnostech zpracování musí obsahovat tyto informace:
- jméno a kontaktní údaje správce a případného společného správce, zástupce správce
- pověřence pro ochranu osobních údajů
- účely zpracování
- popis kategorií subjektů údajů a kategorií osobních údajů
- kategorie příjemců, kterým byly nebo budou osobní údaje zpřístupněny, včetně příjemců ve třetích zemích či mezinárodních organizacích
- informace o případném předání osobních údajů do třetí země nebo mezinárodní organizaci, včetně identifikace této třetí země či mezinárodní organizace,
- pokud je to možné, plánované lhůty pro výmaz jednotlivých kategorií údajů
- pokud je to možné, obecný popis technických a organizačních bezpečnostních opatření uvedených v čl. 32 odst. 1.
Tuto agendu bude možné převést za zpracovatele. Nařízení navíc povoluje menším podnikům do 250 zaměstnanců výjimku. Touto agendou se nebudou muset zabývat menší podniky, u kterých jejich zpracovaní nezasahuje závažným způsobem do práv a svobod jednotlivců, nebo zpracování, která nebudou zahrnovat citlivé údaje.