S rozvojem internetu, GPS, elektronizace a chytrých výrobků je spojen i nebývalý nárůst informací, které lze prostřednictvím těchto nástrojů shromáždit o fyzických osobách a firmách a použít je pro profilování a cílený marketing. Již nyní narůstá počet tzv. datakopeckých“ firem, které v této oblasti podnikají.
Tato situace vyvolala potřebu zvýšené ochrany osobních údajů, na které zareagovala EU schválením nařízení č. 2016/679 tzv. Obecné nařízení o ochraně osobních údajů (GDPR). Toto obecné nařízení platí ve všech zemích EU, účinnosti nabude ke dni 25.5.2018.
GDPR přestavuje jednotnou celoevropskou úpravu ochrany osobních údajů a plně nahradí stávající z.č. 101/2000 Sb. o ochraně osobních údajů. Jak je zvykem v EU, GDPR necílí pouze na oblast internetu, ale pro jistotu stanoví povinnosti všem podnikatelům, kteří při obchodním styku získávají osobní údaje fyzických osob nepodnikatelů i podnikatelů (ať už se jedná o zákazníky či obchodní partnery podnikatele) a dále s nimi nakládají (uchovávají je v účetnictví, v softwarových aplikacích své firmy či s nimi dále marketingově pracují). Takové podnikatelské subjekty jsou z pohledu GDPR správci osobních údajů a jsou povinni splnit všechny povinnosti stanovené GDPR pro jejich způsob nakládaní s osobními údaji. (Na údaje právnických osob se GDPR nevztahuje.)
Jde o širokou škálu povinností správce: od povinnosti fyzické osoby informovat o způsobu nakládání s osobními údaji, povinnosti získat souhlas k nakládání s osobními údaji, povinnost vést záznamy o činnostech zpracování až po vypracování posouzení vlivu na ochranu osobních údajů a jmenování pověřence pro ochranu osobních údajů.
Rozsah povinností jednotlivých správců se liší dle více ukazatelů – velikosti firmy, počtu zaměstnanců, druhu osobních údajů, které se zpracovávají (osobním údajem je i IP adresa) a množství zpracovávaných údajů. GDPR klade důraz na to, že je možné zákonně zpracovávat data pouze v nezbytně nutném rozsahu (zvláštní ochrana je věnována rodným číslům, fotografiím fyzických osob, ochraně nezletilých, občanským průkazům). To, že dodržuje GDPR, bude muset každý správce být schopen doložit po celou dobu zpracovávání patřičnou dokumentací.
Novinkou jsou i astronomické sankce za neplnění GDPR (daň za to, že nařízení platí v celé EU), jejich maximální výše je stanovena na 10,000 000 EUR nebo 2% celkového ročního obratu – podle toho, který ukazatel je vyšší. Přitom GDPR nedělá rozdíl mezi nadnárodními firmami a firmami malého či středního rozsahu!