GDPR ei muuda eelnevaid isikuandmete töötlemise nõudeid kehtetuks, vaid lisab reegleid ja kohustusi. GDPR-i eesmärk on kindlustada isikuandmete parem kaitse andes isikule suurema kontrolli oma andmete üle.

Millised on põhilised muutused?

  • Õigus olla unustatud - kirjutatakse õigusakti sisse ning see ei tulene enam vaid kohtupraktikast.
  • Andmed kaasa - isikuandmed peavad olema isikutele ligipääsetavad ning neid peab olema võimalik isikule kaasa anda;
  • Isiku nõusolek ei ole igavene - luuakse karmimad reeglid juhuks, kui isikuandmeid töödeldakse isiku enda nõusolekul;
  • Kohustus määrata andmekaitseametnik – selle kohustuse selgitab välja andmekaitsealane audit;
  • Andmete töötlemise sisse ostmine - oluliselt rangemad reeglid ning tuleb kindel olla teenusepakkuja võimekuses andmeid kaitsta;
  • Andmekaitse põhimõtted – järgida tuleb andmekaitse põhimõtteid, et andmete turvalisus oleks tagatud kõigis tööprotsessides.

Nõuete täitmise üheks motivatsiooniks on kindlasti väga kõrged trahvid: 20 000 000 eurot või 4% eelneva majandusaasta käibest, kumb iganes on suurem.

Lisaks uutele ja karmimatele nõuetele, mõjutab GDPR väga paljusid äriühinguid. GDPR mõjutab igat Euroopa Liidu äriühingut, kus töödeldakse isikuandmeid (isegi töötajate andmetest piisab ning need ei pea olema ainult EL kodanike andmed) ning igat Euroopa Liidu välist äriühingut kui neil on Euroopa Liidu liikmesriigis kontor või nad töötlevad Euroopa Liidu kodanike või residentide andmeid.

Kuna määruse kohaldumisala on väga lai, peaks iga ettevõte analüüsima, kas nad jäävad GDPR-i kohaldamisalasse ning kas neil on võimalik sinna jäämist vältida. Vastasel juhul võivad suured trahvid olla vaid silmapilgu kaugusel. Andmekaitseeksperdid saavad analüüsiga aidata ning nõustada edasiste sammude osas. Juba esimeste sammude astumine aitab riske maandada.