Kupujúci súhlasí zo spracovaním osobných údajov podľa zmenenej právnej úpravy platnej od 25.05. 2018, ktorú možno zhrnúť hlavne do nasledovných 10 bodov:
- Nový zákon rozširuje okruh tradičných osobných údajov (napr. meno a priezvisko) o nové typy údajov ako sú IP adresa alebo súbory cookies. Nový zákon zároveň bližšie vymedzuje osobitné kategórie osobných údajov, pričom rodné číslo do tejto kategórie už nebude spadať.
- Nový zákon sprísňuje náležitosti súhlasu so spracovaním osobných údajov, ktorý musí byť konkrétny, slobodný, informovaný a jednoznačný. Prednastavené zaškrtnutie políčka pre udelenie súhlasu so spracovaním osobných údajov alebo viazanie tohto súhlasu na uzavretie zmluvy či prijatie obchodných podmienok preto nebude možné.Prevádzkovateľ musí byť navyše vždy schopný preukázať, že súhlas splňujúci vyššie uvedené podmienky bol skutočne udelený, preto sa odporúča používanie tzv. double-opt-in pri potvrdzovaní súhlasu.
- Nový zákon už neupravuje povinnosť vypracovávať bezpečnostný projekt, povinnosť viesť evidenciu informačného systému alebo povinnosť oznamovať informačné systémy Úradu na ochranu osobných údajov. Namiesto toho sa zavádza povinnosť viesť záznamy o spracovateľských činnostiach (najmä u zamestnávateľov zamestnávajúcich aspoň 250 zamestnancov) a povinnosť vykonať tzv. posúdenie vplyvu plánovaných spracovateľských operácií na ochranu osobných údajov, ktorá je prakticky len veľmi ťažko uchopiteľná.
- Nový zákon zavádza dotknutým osobám právo požadovať transfer osobných údajov v štruktúrovanej podobe od jedného prevádzkovateľa k inému (napr. cez rozhranie API alebo úložisko údajov).
- Nový zákon v určitých prípadoch sprísňuje možnosti spracúvania osobných údajov detí do 16 rokov, ku ktorému sa vyžaduje súhlas zákonného zástupcu (tzv. rodičovský súhlas so spracúvaním osobných údajov).
- Nový zákon zavádza povinnosť ustanoviť tzv. zodpovednú osobu na ochranu osobných údajov (namiesto doterajšieho dobrovoľného poverenia) v zákonom stanovených prípadoch. Po novom sa mení tiež postavenie a kompetencie zodpovednej osoby.
- Nový zákon o ochrane osobných údajov sprísňuje povinnosť vymazať osobné údaje na žiadosť dotknutej osoby, a to tak, že pri splnení zákonom stanovených podmienok musia byť jej osobné údaje vymazané nielen u prevádzkovateľa, ale aj u ďalších subjektov, ktoré tieto údaje spracúvajú.
- Nový zákon upravuje formu a náležitosti zmluvy medzi prevádzkovateľom a sprostredkovateľom, a o tak, že do zmluvy pribudne minimálne 9 nových povinností, resp. prehlásení sprostredkovateľa.
- Nový zákon zavádza povinnosť nahlasovať bezpečnostné incidenty (strata či krádež údajov) Úradu na ochranu osobných údajov do 72 hodín od zistenia incidentu.
- Nový zákon zavádza prísnejšie pokuty za porušenie povinností spojených so spracúvaním a ochranou osobných údajov, a to až do výšky 20 000 000 EUR alebo do výšky 4 % celkového svetového ročného obratu za predchádzajúci účtovný rok.