GDPR (General Data Protection Regulation) – všeobecné nariadenie o ochrane údajov 2016/679 je nariadenie EÚ o ochrane údajov a súkromia pre všetkých jednotlivcov v rámci Európskej únie a Európskeho hospodárskeho priestoru a zároveň rieši a upravuje aj export osobných údajov mimo oblastí EÚ a EHP.

Cieľom GDPR je predovšetkým dať jednotlivcom kontrolu nad ich osobnými údajmi a zjednodušiť regulačné prostredie pre medzinárodný obchod zjednotením nariadenia v rámci EÚ.

Nariadenie, ktoré nahrádza smernicu o ochrane údajov, obsahuje ustanovenia a požiadavky týkajúce sa spracovania osobných údajov fyzických osôb v rámci EHP a vzťahuje sa na spoločnosti v rámci EHP alebo, bez ohľadu na ich umiestnenie,  občianstvo dotknutých osôb.

Spracovatelia osobných údajov musia zaviesť vhodné technické a organizačné opatrenia na vykonávanie zásad ochrany údajov. Obchodné procesy, ktoré narábajú s osobnými údajmi, musia byť navrhnuté a zostavené s ohľadom na zásady a musia poskytovať záruky na ochranu údajov (napríklad pomocou pseudonymizácie alebo úplnej anonymizácie, ak je to vhodné) a štandardne používať najvyššie možné nastavenia ochrany osobných údajov, aby tieto údaje neboli verejne dostupné bez výslovného, informovaného súhlasu a aby takéto údaje nebolo možné ho použiť na identifikáciu. Žiadne osobné údaje sa nesmú spracúvať, pokiaľ sa neuskutočňujú na zákonnom základe uvedenom v nariadení, alebo pokiaľ spracovateľ údajov alebo sprostredkovateľ nedostali jednoznačné a individualizované potvrdenie súhlasu dotknutej osoby. Dotknutá osoba má právo tento súhlas kedykoľvek odvolať.

Spracovateľ osobných údajov musí jasne zverejniť akýkoľvek zber údajov, vyhlásiť zákonný základ a účel spracovania údajov a uviesť, ako dlho sa údaje uchovávajú a či sa zdieľajú s tretími stranami alebo mimo EHP. Subjekty údajov majú právo požadovať prenosnú kópiu údajov zhromaždených spracovateľom v spoločnom formáte a právo na vymazanie svojich údajov za určitých okolností. Od verejných orgánov a podnikov, ktorých hlavné činnosti sa sústreďujú na pravidelné alebo systematické spracovanie osobných údajov, sa vyžaduje, aby zamestnávali osobu pre ochranu údajov, ktorá je zodpovedná za riadenie súladu s nariadením GDPR. Podniky musia oznámiť akékoľvek úniky údajov do 72 hodín, ak majú nepriaznivý vplyv na súkromie používateľov. V niektorých prípadoch môžu byť porušovatelia GDPR pokutovaní až do výšky 20 miliónov EUR alebo až do výšky 4% ročného celosvetového obratu predchádzajúceho roka.

GDPR bol prijatý 14. apríla 2016 a vstúpil do platnosti 25. mája 2018. Keďže GDPR je nariadenie, nie smernica, je priamo záväzné a uplatniteľné, ale poskytuje flexibilitu pre niektoré aspekty nariadenia, ktoré majú byť upravené individuálnymi predpismi členských štátov.

zdroj: Wikipedia