General Data Protection Regulation.

Což je česky: "obecné nařízení o ochraně osobních údajů".
Celý název je:

...a mohou být v mnoha případech až likvidační.

GDPR zavádí několikanásobně vyšší pokuty, než byly dosud obvyklé. Jejich maximální výše je 20.000.000 EUR nebo 4 % z celkového celosvětového ročního obratu společnosti (vyšší z obou možností).

Výše pokuty bude záležet na povaze, závažnosti a délce porušování, počtu poškozených občanů a míře škody, bude záležet také na krocích, podniknutých správcem či zpracovatelem ke zmírnění škod, na kategoriích osobních údajů dotčených porušením atd. Nezáleží na velikosti společnosti.

Pokuta za GDPR může dopadnout na nadnárodní korporaci, stejně jako na malou firmu s pár zaměstnanci.

• Přečtěte si zdrojový text Nařízení....
  definice nejdůležitějších pojmů a odkazy na oficiální zdroje jsme připravili zde: Informace o GDPR ›
• Podívejte se, jak to dělají jinde.
  Část GDPR v podání GetReady - o tomto webu: OOÚ na tomto webu ›
• Najměte si experta.
  Ale pozor: nyní (psáno koncem října 2017) je stále mnoho věcí nejasných. Pokud vám některý expert tvrdí, že o GDPR ví vše, buď ho vyvažte zlatem, nebo mu nevěřte.

• Zmapujte procesy ve firmě z hlediska sběru a zpracování osobních údajů
  Zjistěte, v jakých oblastech pracujete s osobními údaji (např. personalistika, dodavatelé, odběratelé, reporty úřadům), jaké jsou zákonné lhůty pro uchovávání dokumentů
• Zjistěte, zda potřebujete DPO (pověřence pro ochranu osobních údajů)
• Uvědomte si svou roli v procesu: Pro různé oblasti a kategorie osobních údajů můžete být správce, zpracovatel, příjemce, nebo třetí strana, ale ne subjekt. Subjekt je vždy fyzická osoba, nikoliv firma.
• Pro všechny oblasti a kategorie definujte osobní údaje, způsob jejich sběru, zákonost zpracování, jejich předávání, ...
• Vypracujte workflow pro vyřizování žádostí subjektů.

• Jmenujte DPO nebo pověřenou osobu
  Nemáte-li povinnost mít DPO (což je případ třeba naší firmy), stejně budete potřebovat osobu (oddělení), které bude mít GDPR na starosti.
• Revidujte smlouvy (a procesy) z hlediska DPIA (odběratelé, dodavatelé, všeobecné obchodní podmínky, atd.).
• Aktualizujte IT systémy s přihlédnutím k toku osobních údajů. Propojte je nebo zrušte jejich propojení.
  (Osobní údaje mohou během zpracování měnit svou povahu a vztahují se ně pak jiná pravidla.)
• Promyslete si, jak budete o GDPR informovat klienty, subjekty a příjemce osobních údajů.

• Připravte Závazná podniková pravidla nebo jiný typ dokumentu, mapující GDPR ve vaší firmě.
  (sledujte existenci kodexů a certifikátů, kodexy se řiďte, o certifikáty usilujte)
• Připravte vedení Záznamů o činnostech zpracování.
  (týká-li se vás tato povinnost, viz článek 30.5)

Nacvičte si, jak budete reagovat na různé typy žádostí subjektů.
"Naposledy jsem u vás kupoval před třemi lety, chci, abyste mě vymazali odevšud, včetně záloh na páskových nosičích, co máte schované v bance..."

"Posílat heslo v plaintextu je a) dobře b) špatně"
"Nechat válet faktury tam, kde je může kdokoliv vidět je a) dobře b) špatně"

Toto je psáno koncem října 2017. Český zákon zatím není schválen, ve vzduchu je spousta otazníků. Sledujte změny a včas na ně reagujte.