O co jde?

GDPR je novou evropskou právní úpravou ochrany osobních údajů, která zcela nahrazuje, doplňuje a zpřísňuje současnou legislativu. Jedná se o nařízení, které je přímo závazné a vynutitelné ve všech zemích Evropské unie. Norma vstupuje v účinnost dnem 25. května 2018, nicméně s ohledem na její význam a s tím spojenou implementaci nových interních procesů je třeba začít s přípravou již nyní.

Týká se mé firmy?

GDPR se týká všech podniků, které v rámci své činnosti zpracovávají osobní údaje. Norma jinými slovy dopadá na jakéhokoli podnikatele, který má alespoň jednoho zaměstnance, má mezi svými klienty fyzické podnikající osoby apod.

Co musím udělat?

Každý podnikatel by si měl zanalyzovat, které povinnosti na něj budou dopadat a dle toho provést implementaci nutných změn. Změny se určitě budou týkat právní dokumentace (souhlasy se zpracováním, zpracovatelské smlouvy, vnitřní předpisy), dále je třeba myslet na bezpečnostně technickou stránku věci, využívat dostatečně zabezpečené informační systémy a vhodně nastavit interní procesy zpracování osobních údajů. Efektivitu a praktičnost přijatých opatření je třeba pravidelně ověřovat, a to jak technickou úroveň, tak pravidelné školení zaměstnanců.

Co mi hrozí?

Za porušení povinnosti stanovené GDPR mohou být správci ukládána opatření, jako například nařízení uvést zpracovávání do souladu se zákonem apod. V závažnějších případech i peněžitá pokuta. Ta má být v každém jednotlivém případě účinná, přiměřená a odrazující. Maximální peněžitá sankce je stanovena ve výši až 20 milionů eur nebo 4 % celosvětového ročního obratu za předchozí finanční rok. Pozor však i na možné sankce vyplývající z jiných právních předpisů, např. trestního zákona a z povinnosti členů statutárních orgánů jednat s péčí řádného hospodáře.