Je to už jen poslední formalita nutná k tomu, aby reforma ochrany osobních dat v Evropské unii mohla vstoupit v platnost. Na svém dnešním zasedání ji ve druhém čtení definitivně schválil Evropský parlament.
Nařízení na ochranu osobních údajů (General data protection regulation, GDPR) vstoupí v platnost 20 dní poté, co vyjde v Úředním věstníku EU. Reálně pak začne ve všech členských zemích platit dva roky po tomto datu, tedy někdy na jaře roku 2018.
Kromě sladění pravidel ve všech zemích EU přinese GDPR celou řadu změn, například:
- pravidla budou nově platit i pro firmy, které sídlí mimo EU – pokud zpracovávají (třeba i mimo Evropu) osobní údaje občanů EU
- firmám, které nebudou pravidla na ochranu osobních dat dodržovat, budou hrozit vysoké pokuty (až 4 % celosvětového ročního obratu nebo 20 milionů eur)
- pro zpracovávání osobních dat dětí mladších 16 let bude nutný souhlas rodičů (státy mohou tuto hranici vlastními zákony snížit až na 13 let)
- souhlas se zpracováním osobních údajů musí být „svobodný, konkrétní, vědomý a výslovný“
- uživatelé budou mít právo získat a přenést svá osobní data od jednoho poskytovatele služeb k jinému (right to data portability)
- zpracovatelé osobních dat budou muset regulátory informovat o případných únicích či zneužitích údajů do 72 hodin od chvíle, kdy se o nich dozví
- firmy, které pracují s citlivými údaji nebo s osobními údaji ve velkém měřítku, budou muset mít zaměstnance (data protection officer), který bude dohlížet na dodržování pravidel a bude komunikovat s regulátory
Podrobněji jsme se jednotlivým změnám věnovali v tomto článku.