V pátek 25. května 2018 nabyla účinnosti nová právní úprava ochrany osobních údajů - Nařízení Evropského parlamentu a Rady 2016/679, o ochraně fyzických osob v souvislosti se zpracováním osobních údajů a o volném pohybu těchto údajů a o zrušení směrnice 95/46/ES, zkráceně nazývané GDPR (obecné nařízení o ochraně osobních údajů). Toto nařízení se dotýká i zajišťování BOZP a PO. V BOZP dokonce dochází ke zpracování zvláštní kategorie osobních údajů (dříve „citlivých údajů“).
Obecné nařízení o ochraně osobních údajů se vztahuje na zcela nebo částečně automatizované a neautomatizované zpracování osobních údajů, které jsou obsaženy v evidenci nebo do ní mají být zařazeny. Přičemž evidencí je míněn jakýkoliv strukturovaný soubor osobních údajů přístupných podle zvláštních kritérií, ať již centralizovaný, decentralizovaný, nebo rozdělený podle funkčního či zeměpisného hlediska.
Za osobní údaj jsou považovány veškeré informace o identifikované nebo identifikovatelné fyzické osobě, tedy o fyzické osobě, kterou lze přímo nebo nepřímo identifikovat (subjekt údajů). Osobním údajem je například velikost pracovní obuvi Františka Nováka, který pracuje v oddělení údržby firmy Dřevoplech. František Novák je subjektem údajů.
Nařízení je přímo použitelný předpis EU, a proto není a nebude transformováno do žádného českého právního předpisu. V budoucnu má být vydán tzv. adaptační zákon (zákon o zpracování osobních údajů), který má upravit náležitosti, které GDPR umožňuje řešit na národní úrovni (působení Úřadu na ochranu osobních údajů, způsobilost dítěte pro udělení souhlasu se zpracováním osobních údajů atd.) a provádět novou trestněprávní směrnici EU.
GDPR řeší ochranu osobních údajů při jejich zpracování. Tím je myšlena jakákoliv operace nebo soubor operací s osobními údaji nebo soubory osobních údajů, který je prováděn pomocí či bez pomoci automatizovaných postupů (shromažďování, zaznamenání, uspořádání, strukturování, uložení, přizpůsobení, pozměnění, vyhledání, nahlédnutí, použití, zpřístupnění přenosem, šíření nebo jakékoliv jiné zpřístupnění, seřazení či zkombinování, omezení, výmaz či zničení).
V současné době je bohužel stále platný zákon č. 101/2000 Sb., ve znění pozdějších předpisů (zrušit jej má adaptační zákon). V případě, že jsou ustanovení uvedených předpisů v nějakém bodě v rozporu, platí ustanovení GDPR a k ustanovení zákona č. 101/2000 Sb. se nepřihlíží.
GDPR je založeno na stejném základě jako BOZP
Vzhledem k tomu, že GDPR neobsahuje konkrétní pravidla pro nakládání s osobními údaji, je postup pro jeho naplnění o to složitější. Nemá být prokázáno plnění požadavků GDPR, ale soulad s ním. Každý správce (fyzická nebo právnická osoba, orgán veřejné moci, agentura nebo jiný subjekt, který sám nebo společně s jinými určuje účely a prostředky zpracování osobních údajů) si musí vytvořit svá vlastní pravidla na základě konkrétních podmínek (nebezpečí) nakládání s osobními údaji, která poté musí dodržov