Nařízení o obecné ochraně údajů

Nařízení o obecné ochraně údajů (General Data Protection Regulation, GDPR)

Nařízení o obecné ochraně údajů (GDPR) sjednotí stávající nařízení o ochraně údajů v zemích EU do jednoho zákona, takže budou jednotné pokyny, jak organizace musí zacházet s osobními identifikačními údaji (Personal Identifiable Information, PII), tedy veškerými informacemi, které umožní přímo či nepřímo identifikovat nějakou fyzickou osobu. To se bude týkat všech organizací působících v Evropě, a to bez ohledu na to, zda jsou údaje umožňující identifikaci osob uložené uvnitř hranic Evropské unie či nikoliv. Dojde také k rozšíření definice „osobních údajů“, součástí budou i e-mailové adresy, IP adresy a obsah zveřejněný na sociálních sítích.

Pro koho právní předpis platí

Podléhat právním předpisům GDPR bude každá organizace nabízející zboží nebo služby v rámci členských států EU. Odstraní se tím současné nejasnosti, zda právní předpisy na ochranu údajů platí v dané zemi nebo regionu. Každá organizace podnikající v rámci EU a manipulující s osobními údaji subjektů EU by měla přijmout taková opatření, která zajistí soulad s předpisy.

Vymahatelnost směrnic a nařízení

Klíčové je, že se tyto směrnice a nařízení stanou vymahatelnými, takže pokud organizace nesplňují NIS nebo GDPR, riskují v případě narušení bezpečnosti přísné sankce. Navrhované pokuty jsou 5 % z celosvětového ročního obratu (v závislosti na segmentu) nebo až 100 milionů EUR. Nové právní předpisy zvýší odpovědnost organizací, ale zároveň je to pro ně příležitost k přehodnocení stávajících bezpečnostních postupů. Změny v oblasti kybernetické bezpečnosti mohou ve výsledku pomoci otevřít nové obchodní příležitosti a získat konkurenční výhodu.

Některé z návrhů GDPR odráží směrnici NIS, speciálně pokud jde o zabezpečení systémů a dat, podobně je to i u některých sankcí. Ale GDPR má mnohem více detailů souvisejících s regulací a manipulací s osobními identifikačními údaji (PII) občanů EU.