GDPR ukládá správcům novou povinnost a tou je vypracovávat tzv. záznamy o činnostech zpracování, které budou obsahovat mj. jméno a kontaktní údaje správce, účely zpracování, popis kategorií subjektů údajů a kategorií zpracovávaných osobních údajů, informace o případném předávání osobních údajů do zahraničí, apod. Povinnost vypracovávání těchto záznamů podle GDPR by sama o sobě ani tak problematická nebyla. Nejasná je však výjimka z této povinnosti, která se podle textu nařízení uplatní na podnik nebo organizaci zaměstnávající méně než 250 osob, ledaže zpracování, které provádí, pravděpodobně představuje riziko pro práva a svobody subjektů údajů, zpracování není příležitostné, nebo zahrnuje zpracování citlivých údajů. Podle výkladu Úřadu pro ochranu osobních údajů však absolutní většina případů zpracování osobních údajů „není příležitostná.“ Budou v takovém případě muset záznamy o zpracování vypracovávat všechny subjekty provádějící nepříležitostné zpracování osobních údajů, tedy téměř všichni? Jaký by byl vůbec význam takovéto výjimky? Dosavadní výklady k GDPR v tomto ohledu zatím zcela mlčí.
S ohledem na vyjádření souhlasu se zpracováním osobních údajů přinese GDPR přísnější požadavky. Podle GDPR bude-li souhlas vyjádřen písemně v prohlášení týkajícího se i jiných skutečností (např. jako součást všeobecných obchodních podmínek), bude muset být od těchto „ostatních“ skutečností na první pohled jednoduše odlišitelný (např. na samostatné straně dokumentu nebo jako samostatné „zaškrtávací políčko“ na webu). Ve vztahu k užívání informačních technologií dětmi však GDPR zavádí ještě další povinnost, podle které bude souhlas se zpracováním u nezletilých dětí (převážně mladších 16 let) muset být poskytován se souhlasem jejich rodičů nebo zákonných zástupců. To si lze v praxi opravdu jen stěží představit. Jak se například pozná, že při vyjádření souhlasu se zpracováním osobních údajů (při využití určité online služby) za počítačem sedělo nezletilé dítě a souhlas se zpracováním osobních údajů opravdu dalo se souhlasem svých rodičů? Podobné praktické nejasnosti GDPR zatím vůbec neřeší a objasnění nepřináší ani jeho stávající výkladová stanoviska.
Novinkou GDPR budou rovněž tzv. kodexy chování a osvědčení o ochraně údajů. Co se týče kodexů chování, zde je dosavadní výklad o něco zřetelnější – půjde o jakési zásady shrnující dobrou praxi a správné postupy při ochraně osobních údajů v určité profesi nebo v konkrétním odvětví. Tyto kodexy budou moci vydávat například odborná sdružení nebo profesní komory s cílem sdělit svým členům, jakým způsobem by měli správně nakládat s osobními údaji (např. kodexy lékařů nebo novinářů). Dodržování kodexů by mělo předpokládat přijetí dostatečných záruk pro zabezpečení osobních údajů a nakládání s nimi v souladu s GDPR. Oprávnění vydávat tzv. osvědčení o ochraně údajů, jakož i tzv. pečeti a známky, které budou (podobně jako kodexy chování) zaručovat soulad s GDPR, bude u nás mít Český institut pro akreditaci – alespoň podle aktuálních informací Úřadu pro ochranu osobních údajů.
Příchodem GDPR se nemění nic na tom, že správce a zpracovatel budou mít nadále povinnost přijmout vhodná technická a organizační opatření, aby zajistili odpovídající úroveň zabezpečení zpracovávaných osobních údajů. Mezi takováto opatření bude po účinnosti GDPR spadat např. pseudonymizace a šifrování osobních údajů, ochrana a zálohování dat, omezená přístupová práva k datům, procesy pro pravidelné testování a hodnocení účinnosti zavedených technických a organizačních opatření atd. Úplnou novinkou však bude povinnost nahlašovat incidenty týkající se jejich zabezpečení. Veškeré případy porušení zabezpečení osobních údajů bude správce totiž nově povinen bezodkladně ohlašovat Úřadu pro ochranu osobních údajů a v případě velmi rizikových incidentů i samotným subjektům údajů.
Na závěr samozřejmě nelze opomenout, že GDPR zavádí velmi vysoké sankce pro případy jeho porušení, které se budou moci vyšplhat až do výše 20 000 000 EUR, popř. až do výše 4 % celosvětového ročního obratu, půjde-li o podnik. Tyto sankce budou pro většinu společností představovat značnou hrozbu, jelikož budou schopné být pro mnohé z nich zcela likvidačního charakteru a současně budou moci začít být uplatňovány hned po vstupu GDPR v účinnost – bez ohledu na veškeré nejasnosti, které se okolo GDPR momentálně vznáší. Z toho důvodu bude obzvlášť důležité, aby byly všechny firmy obezřetné při plnění svých povinností plynoucích z GDPR a průběžně sledovaly vývoj jeho oficiálních výkladů.