GDPR je nařízení EU o ochraně osobních údajů, které vstupuje v platnost 25. 5. 2018. Ukládá osobám zpracovávající osobní údaje (správce a zpracovatel), které působí na území EU, přijmout vhodná technická a organizační opatření proti rizikům. Nejčastější a nejpravděpodobnější rizika jsou ztráta, únik dat, krádež, selhání techniky a přírodní živly. Konkrétní rizika a prevenci vůči má povinnost analyzovat a určit každý správce musí určit, neexistuje žádný jednotný postup pro zavedení GDPR ve firmě.
V článku 32 je stanovena tato zásada přiměřenosti: „Opatření je třeba činit s přihlédnutím ke stavu techniky, nákladům na provedení, povaze, rozsahu, kontextu a účelům zpracování i k různě pravděpodobným a závažným rizikům pro práva a svobody fyzických osob.“
EU tedy neočekává, že eshop s jedním zaměstnancem bude mít stejnou úroveň zabezpečení jako firmy rozsahu Facebook nebo Google, ale očekává, že všichni budou brát ochranu osobních údajů naprosto vážně.
Několik základních pojmů:
Osobní údaj je jakákoli informace, která se vztahuje k identifikované nebo identifikovatelné fyzické osobě. Např. jméno, pohlaví, věk datum narození, osobní stav, fotografie, e-mail, telefonní číslo, IP adresa a další. Více najdete např. zde.
Správce je podle GDPR každý subjekt, který určuje účel a prostředky zpracování osobních údajů, provádí za jím stanoveným účelem jejich shromažďování, zpracování a uchování. Správce primárně odpovídá za zpracování osobních údajů.
Zpracovatel je subjekt, který jménem správce zpracovává osobní údaje pro správce. Od správce se zpracovatel liší tím, že v rámci činnosti pro správce může provádět jen takové zpracovatelské operace, kterými jej správce pověří nebo vyplývají z činnosti, pro kterou byl zpracovatel správcem pověřen.
Pokud podnikáte na trhu EU, tak s největší pravděpodobností ano. Pokud máte nějaké zákazníky, zaměstnance nebo dodavatele, pravděpodobně v nějaké formě uchováváte jejich osobní údaje.