Zkratka „GDPR“ v roce 2018 jistě neminula téměř nikoho z odborné ani laické veřejnosti. O tomto tématu bylo napsáno a pojednáno v nesčetných článcích, které různou měrou vyvracely mýty, které s touto zkratkou byly spojovány. Co vlastně tato zkratka znamená? Odpověď je vcelku jednoduchá. Jedná o zkratku anglického názvu nařízení Evropského parlamentu a Rady (EU) č. 2016/679 ze dne 27. dubna 2016 (General Data Protection Regulation), která v české podobě znamená obecné nařízení o ochraně osobních údajů.
Již ze samotného názvu vyplývá, že GDPR reguluje ochranu fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů. Zároveň dochází ke zrušení směrnice Evropského parlamentu a Rady 95/46/ES.
GDPR se stalo účinným ke dni 25. května 2018, z čehož vyplývá, že je přímo použitelné ve všech členských státech EU, tudíž i na území České republiky. GDPR jako přímo závazný právní předpis zrušilo zejména hmotněprávní část zákona č. 101/2000 Sb., o ochraně osobních údajů, zavedlo zejména jednotné pojmosloví, jednotné povinnosti správců a zpracovatelů osobních údajů a jednotná práva a jejich uplatňování pro subjekty údajů.
Na koho se GDPR vztahuje? Působnost je upravena v čl. 2 (věcná) a čl. 3 (místní) nařízení. GDPR se tedy vztahuje na všechny správce a zpracovatele, kteří zpracovávají osobní údaje zcela nebo částečně automatizovaně, ale i neautomatizovaně (vedené v evidencích). GDPR se naopak nevztahuje na fyzické osoby v průběhu výlučně osobních či domácích činností (např. vedení telefonního seznamu a seznamu adres jiných fyzických osob, ať už v listinné nebo elektronické podobě).
S účinností GDPR je na správce a zpracovatele kladena celá řada povinností např. vedení záznamů o činnostech zpracování, aktualizovat souhlasy se zpracováním osobních údajů, uzavřít smlouvu o zpracování, jmenování pověřence pro ochranu osobních údajů apod.
S ohledem na účinnost GDPR je tedy nasnadě, aby se s tímto nařízením seznámil každý správce a zpracovatel a zpracování osobních údajů dal do souladu s uvedeným nařízením, neboť dozorový úřad, kterým je Úřad pro ochranu osobních údajů, za zjištěná porušení povinností může přistoupit k uložení velmi vysokých pokut, které mohou být pro daný subjekt likvidační.
Je třeba mít na paměti, že dnešní společnost je společností nepřející a škodolibou, a proto každý správce a zpracovatel musí počítat s tím, že subjekt údajů v rámci znesvářených vztahů může poslat stížnost na zpracování jeho osobních údajů k dozorovému úřadu, který je povinen se zabývat každou podanou stížností.
To jak se bude dodržování GDPR kontrolovat a jak budou zjištěná porušení povinností sankcionována ze strany dozorového úřadu ukáže teprve čas.