Co je obecné nařízení o ochraně údajů (GDPR)?
Obecné nařízení o ochraně údajů (GDPR) je právní rámec, který stanoví pokyny pro shromažďování a zpracování osobních údajů od jednotlivců, kteří žijí v Evropské unii (EU). Vzhledem k tomu, že se toto nařízení použije bez ohledu na to, kde jsou webové stránky založeny, je třeba dbát na všechny weby, které přitahují evropské návštěvníky, i když konkrétně neobchodují se zbožím nebo službami obyvatelům EU.
GDPR nařizuje, aby návštěvníkům EU bylo poskytnuto množství zveřejňovaných údajů. Stránka musí rovněž podniknout kroky k usnadnění takových práv spotřebitelů EU, jako je včasné oznámení v případě porušení osobních údajů. Nařízení přijaté v dubnu 2016 vstoupilo v platnost v květnu 2018, po dvouletém přechodném období.
Požadavky GDPR na služby zákazníkům
Podle pravidel musí být návštěvníci informováni o údajích, které od nich web shromažďuje, a výslovně souhlasit se shromažďováním těchto informací kliknutím na tlačítko Souhlasím nebo jinou akcí. (Tento požadavek do značné míry vysvětluje všudypřítomnou přítomnost informací, které weby shromažďují „soubory cookie“ - malé soubory, které obsahují osobní informace, jako je nastavení a preference webu.)
Webové stránky musí také včas informovat návštěvníky, pokud dojde k porušení některého z jejich osobních údajů, které má web v držení. Tyto požadavky EU mohou být přísnější než požadavky požadované v jurisdikci, ve které se daná lokalita nachází.
Pověřeno je také posouzení bezpečnosti dat na místě a to, zda je třeba najmout specializovaného pracovníka pro ochranu údajů (DPO) nebo zda může existující pracovník vykonávat tuto funkci.
Informace o tom, jak kontaktovat inspektora ochrany údajů a další příslušné zaměstnance, musí být přístupné, aby návštěvníci mohli mimo jiné uplatňovat svá práva na údaje EU, mezi něž patří i možnost vymazat jejich přítomnost na místě. (Přirozeně, web musí také přidat zaměstnance a další zdroje, aby byly schopny takové požadavky splnit.)
Další pravidla a mandáty obecného nařízení o ochraně údajů (GDPR)
Jako další ochrana spotřebitelů GDPR rovněž požaduje, aby jakékoli osobní údaje (PII), které shromažďují weby, byly buď anonymizované (podle anonymity poskytnuté anonymní), nebo pseudonymizované (s totožností spotřebitele nahrazenou pseudonymem). Pseudonymizace dat umožňuje firmám provádět rozsáhlejší analýzu dat, jako je hodnocení průměrných poměrů zadlužení svých zákazníků v konkrétním regionu - výpočet, který by jinak mohl být nad rámec původních účelů údajů shromážděných pro posouzení úvěruschopnosti úvěru.
GDPR ovlivňuje data nad rámec údajů získaných od zákazníků. Především se nařízení pravděpodobně vztahuje na záznamy zaměstnanců o lidských zdrojích.
Spory spojené s GDPR
GDPR vzbudil v některých čtvrtletích kritiku. Někteří říkají, že požadavek na jmenování inspektorů ochrany údajů nebo jen na posouzení potřeby pro ně představuje nepřiměřenou administrativní zátěž pro některé společnosti. Někteří si také stěžují, že pokyny jsou příliš vágní ohledně toho, jak nejlépe nakládat s údaji o zaměstnancích.
Kromě toho nelze údaje přenášet do jiné země mimo EU, pokud přijímající společnost nezaručuje stejný stupeň ochrany, jaký vyžaduje EU. To vedlo ke stížnostem na nákladné narušení obchodních praktik.
Existuje další obava, že náklady spojené s GDPR se časem zvýší, částečně z důvodu zvyšující se potřeby vzdělávat zákazníky i zaměstnance o hrozbách a nápravných opatřeních v oblasti ochrany údajů. Existuje také skepticismus ohledně toho, jak proveditelné agentury na ochranu údajů v EU i mimo ni mohou sladit své vymáhání a interpretaci nařízení, a tak zajistit rovné podmínky, jak GDPR nabývá účinku.
