Vysoké sankce
Pokuty za nedodržení GDPR jsou stanoveny v EURECH, nikoliv v národních měnách, a to až do výše 20 000 000 EUR nebo 4 % z celkového ročního obratu celosvětově za předchozí finanční rok.
Náležitosti souhlasu se zpracováním osobních údajů
Souhlas musí být výslovně vyjádřen. Zároveň musí být možné souhlas kdykoli odvolat.
Právo na přenositelnost osobních údajů
Subjekt osobních údajů má právo získat osobní údaje, které poskytl správci, a to ve strukturovaném, čitelném a běžně používaném formátu.
Právo být zapomenut
Subjekt osobních údajů má právo požadovat vymazání osobních údajů, pokud odvolal souhlas s jejich zpracováním nebo osobní údaje již nejsou potřebné pro účely, pro které byly shromážděny.
Povinnost provést posouzení vlivu na ochranu osobních údajů
Posouzení vlivu na ochranu osobních údajů musí provést každý subjekt, u kterého existuje vysoké riziko při zpracování osobních údajů. Posouzení by mělo obsahovat systematický popis zamýšlených operací, účel zpracování, posouzení nezbytnosti a přiměřenosti ve vztahu k účelu zpracování, posouzení rizik pro práva subjektů údajů a plánovaná koncepční opatření k řešení těchto rizik, včetně bezpečnostních opatření a mechanismů k zajištění ochrany osobních údajů.
Povinnost předchozí konzultace s Úřadem pro ochranu osobních údajů (ÚOOÚ)
Vyplyne-li z posouzení vlivu na ochranu osobních údajů, že plánované zpracování osobních údajů je vysoce rizikové, má správce povinnost toto zpracování konzultovat s ÚOOÚ. Úřad může dočasně nebo trvale uložit omezení zpracování osobních údajů za předpokladu, že by toto zpracování odporovalo GDPR.
Pověřenec pro ochranu osobních údajů
Pověřence pro ochranu osobních údajů má povinnost jmenovat orgán veřejné moci, správce, jehož hlavní činnosti spočívá v operacích zpracování osobních údajů, nebo správce, jehož činnost zpracování spočívá v rozsáhlém zpracování zvláštních kategorií osobních údajů. Mezi povinnosti správce patří mimo jiné monitoring činností společnosti a zajištění souladu s GDPR, poradenství v oblasti GDPR, vypracování posouzení vlivu na ochranu osobních údajů, či komunikace s dozorovými orgány a subjekty osobních údajů.
Povinnost vést záznamy o zpracování
Dle předchozí úpravy všichni správci (zpracovatelé) měli povinnost předem nahlásit ÚOOÚ chystané zpracování osobních údajů. Tato povinnost je nově nahrazena vedením záznamu o zpracování, v jehož rámci má správce (zpracovatel) povinnost systematicky a transparentně popsat mechanismy zpracování a nakládání s osobními údaji.
Povinnost zavedení bezpečnostních opatření
Na základě analýzy rizik zabezpečení osobních údajů je třeba implementovat jednotlivá bezpečnostní opatření. Konkrétní opatření se mohou týkat širokého spektra činností (např. zabezpečení dat v pohybu, elektronických databází, či kartoték lékařů).