Nová pravidla EU o ochraně osobních údajů (GDPR), které mají pomoci hájit práva občanů proti zneužívání jejich osobních dat,  nabyla pátkem účinnosti. Týkají se veřejných institucí i firem a společností, které nakládají s osobními údaji svých zákazníků či zaměstnanců. Kritici GDPR ale tvrdí, že nová pravidla jsou příliš byrokraticky náročná a v některých případech nejednoznačná.

Evropské nařízení zároveň umožňuje výjimky, které musí upravit zákony jednotlivých členských států. Zatímco na uzákonění českých mantinelů nových pravidel v podobě zákona o zpracování osobních údajů se čeká, například Slovensko si už výjimky stanovilo. Týkají se situací, kdy firmy či instituce nemusejí získat souhlas dotčené osoby se zpracováním jejích údajů. Slovensko je také jednou z mála zemí EU, které GDPR ještě před zahájením jeho platnosti zavedlo do národní legislativy.

Podle slovenského zákona například média pro potřeby informování veřejnosti budou moci pracovat s osobními údaji osob, aniž k tomu mají jejich souhlas. Stejná výjimka se týká používání osobních dat k akademickým, literárním či uměleckým účelům. Podmínkou je, aby při zpracování údajů nebyla porušena práva lidí na ochranu osobnosti.

České výjimky by se mohly týkat například pravidel pro užívání sociálních sítí. "Pokud se bude jednat o služby informační společnosti určené přímo dítěti, potom bude u nových účtů pro zpracování údajů u dítěte mladšího 16 let nutný souhlas rodičů," uvedl na dotaz ČTK mluvčí Úřadu pro ochranu osobních údajů Tomáš Paták. Věková hranice se může změnit po přijetí zákona, dodal.

Nově už souhlas se zpracováním osobních údajů nesmí být součástí obchodních podmínek. Kvůli novým pravidlům by tak měla být obnovena většina databází s osobními daty, kterými disponují e-shopy, ale i lékaři, školy, zaměstnavatelé či společenství vlastníků. GDPR rovněž zavádí právo "být zapomenut", tedy právo na výmaz poskytnutých osobních údajů z marketingových databází. Firmy bez souhlasu klienta nebudou moci ani sledovat jeho chování na internetu nebo zjištěná data prodávat.

GDPR stanoví horní sazbu sankcí za porušení pravidel na 20 milionů eur (zhruba 500 milionů korun). Hrozba takto vysoké pokuty je ale podle ochránců soukromí namířena především na velké nadnárodní firmy. V českých podmínkách chce ÚOOÚ užívat pokuty v dosavadní výši do deseti milionů korun.

V Česku si zavedení GDPR u firem a veřejné správy vyžádá náklady kolem šesti miliard korun. Podle údajů poradenské firmy Bureau Veritas se nařízení dotkne všech firem, jichž je v Česku zhruba 460 tisíc, a dále třetiny z 1,5 milionu živnostníků a celé veřejné správy včetně 7000 obcí.