Zpět na výpis
Důvěrné informace osobních údajů
Zvoleným tématem tohoto článku jsou důvěrné informace osobních údajů, přičemž toto téma je specificky zaměřeno na důvěrné osobní údaje zaměstnanců v rámci stávající firemní praxe. Řešené téma a jeho praktické zaměření lze považovat v současné firemní praxi za aktuální a zejména pak vlivem právních změn, které přináší nařízení GDPR. Pro některé dotčené subjekty lze požadavky nařízení GDPR považovat za obtížné či jen obtížně realizovatelné, ale ve srovnání s předchozím souborem evropských předpisů a politik týkající se ochrany osobních údajů v této oblasti nařízení GDPR usnadňuje jednotnější mezinárodní úsilí v oblasti ochrany údajů a dodržování jejich odpovídající ochrany. Ve firemní praxi tak bylo nařízení postupně prakticky zavedeno do interních předpisů a činností. Je možné též predikovat, že nařízení GDPR budou brzy následovat další související předpisy nejenom evropského právního rámce, ale také mezinárodního významu. S ohledem na globalizační a technologické tendence musí být sladěny mezinárodní režimy ochrany osobních údajů, aby se zajistilo respektování různých osobních, vládních a finančních zájmů občanů nejenom v rámci EU, ale též v mezinárodním kontextu. GDPR může být prvním z mnoha mezinárodních úsilí v této oblasti. V kontextu řešené právní úpravy je možné uvést několik relevantních právních institutů, které jsou v GDPR zahrnuty, jedná se o právo na informace, právo na přístup k osobním údajům, právo na opravu a doplnění, právo vznést námitku, právo nebýt předmětem automatizovaného individuálního rozhodování. S ohledem na celkový rozsah tohoto článku se jedná o vybrané právní instituty. Jsou to skutečnosti, které jsou relevantní k důvěrnosti osobních informací i v kontextu zaměstnanců v jednotlivých firemních segmentech.
Za problémovou situaci je možné považovat ochranu osobních údajů zaměstnanců i zpracování jejich důvěrných osobních údajů pro účely pracovněprávních vztahů. Cílem nařízení GDPR je chránit osobní údaje zaměstnanců firem a institucí v rámci EU prostřednictvím komplexního souboru požadavků na ochranu osobních údajů a jejich relevantního zabezpečení v souladu s právními předpisy jednotlivých členských zemí EU. Vztahuje se na všechny zaměstnavatele, kteří zpracovávají a uchovávají osobní údaje zaměstnanců s bydlištěm v EU.
Cílem tohoto článkuje řešení zvoleného tématu týkající se důvěrných informací a osobních údajů a jejich ochrany a v kontextu toho ochrana osobních údajů zaměstnanců v rámci jejich pracovněprávních vztahů.
Stávající právní úprava
Cílem nařízení GDPR je chránit osobní údaje zaměstnanců firem a institucí v rámci EU prostřednictvím komplexního souboru požadavků na ochranu osobních údajů a zabezpečení. Vztahuje se na všechny zaměstnavatele, kteří zpracovávají a uchovávají osobní údaje zaměstnanců s bydlištěm v EU. Vztahuje se na všechny zaměstnavatele, kteří zpracovávají a uchovávají osobní údaje zaměstnanců s bydlištěm v EU. I když daná obchodní společnost přímo nesídlí v rámci EU, podléhá požadavkům GDPR, pokud má nějaké zaměstnance nebo externisty s bydlištěm v Evropském hospodářském prostoru. V této souvislosti se nemusí jednat o občany zemí EU. Kromě toho musí požadavky GDPR splňovat také všichni dodavatelé třetích stran, kteří jsou smluvně vázáni ke zpracování osobních údajů zaměstnanců v jednotlivých firemních segmentech. Dodržování tohoto pravidla je vymáháno prostřednictvím sankcí za nedodržování povinností plynoucích z nařízení GDPR. Pokuty mohou dosahovat výše až 20 milionů EUR nebo až 4 % ročních celosvětových příjmů zaměstnavatele za předchozí rok s ohledem na jejich aktuální výši. Kromě toho budou mohou též zaměstnanci podniknout právní kroky proti zaměstnavatelům i jejich zainteresovaným stranám v rámci podnikatelské činnosti dané firmy a požadovat od nich náhradu škody.
Důvěrné informace je nutné hodnotit též ve vztahu zaměstnavatel a zaměstnanec. Je důležité k tomuto institutu uvést, že pojem důvěrné informace je relevantní v právní úpravě pracovněprávních vztahů ve vazbě na zaměstnavatele a zaměstnance. Zákoník práce, zákon č. 262/2006 Sb., ve znění pozdějších předpisů stanovuje v souvislosti s právem zaměstnancům na informace v ustanovení § 276 odst. 3 až 6, a to tak, že „důvěrnou informací se rozumí informace, jejíž poskytnutí může ohrozit nebo poškodit činnost zaměstnavatele nebo porušit oprávněné zájmy zaměstnavatele nebo zaměstnanců. Za důvěrnou informaci se nepovažuje informace, kterou je zaměstnavatel povinen sdělit, projednat nebo zveřejnit podle tohoto zákona nebo zvláštního právního předpisu. Jestliže zaměstnavatel požaduje zachování mlčenlivosti o informacích, které byly poskytnuty jako důvěrné, mohou se zástupci zaměstnanců domáhat, aby soud určil, že informace byla za důvěrnou označena bez přiměřeného důvodu. Neposkytne-li zaměstnavatel informaci, mohou se zástupci zaměstnanců domáhat, aby soud rozhodl, že je zaměstnavatel povinen informaci poskytnout.“
V pracovněprávních vztazích je pak specifické firemní know-how. Výklad tohoto pojmu je u různých autorů rozdílný a je možné hovořit o tom, že se jedná o zákonem nechráněné vynálezecké výkony, výrobní postupy, konstrukce a ostatní, techniku obohacující výkony technického, technologického, ale také lidského faktoru vznikající v rámci pracovněprávních vztahů. Je také možné uvést, že pod tímto pojmem rozumíme souhrn speciálních znalostí a zkušeností v jakékoliv oblasti výrobní, zemědělské, obchodní a podobně v dalších firemních segmentech, umožňující provést určitý konkrétní úkol rychle a s nejmenším vynaložením sil a energie. Prakticky je též možné sem zařadit také výrobní tajemství, receptury, formule, technické informace a dokumentace nutné k výrobě určitého výrobku nebo na využití některého technologického procesu nejvhodnějším způsobem. Obecně se pak jedná o výsledky pokusů, praxe a zkoušek, které umožňují tomu, kdo je získal, vyrábět nebo obchodně poskytovat výrobky nebo služby, které jsou v konkurenčním prostředí firem a firemních segmentů ne běžně dostupné pro zákazníky či další zainteresované strany.
Ve vztahu k důvěrným informacím mezi zaměstnavatelem a zaměstnancem je know-how chápáno jako odborná znalost, poznatek, zkušenost, zručnost a schopnost získaná jako výsledek výzkumu, vývoje, pokusů, zkoušek, provozu a kontinuální firemní praxe, a to skutečně ve všech firemních segmentech, kdy know-how má určitou hodnotu, využívá se nebo je možno ji využít, je přístupná jen omezenému okruhu zainteresovaných osob, konkrétně pak zaměstnavatel nebo dotčení zaměstnanci a není chráněná příslušným ochranným dokumentem (například patentem, průmyslovým vzorem, užitným vzorem a podobně. Do určité míry je přitom relevantní k pracovněprávním předpisům podle zákoníku práce, které byly uvedeny v textu tohoto článku výše. Know-how s ohledem na zaměstnance a důvěrné informace zahrnuje též všechny výrobní, provozní a jiné poznatky, zkušenosti, znalosti, zručnosti a schopnosti jakéhokoliv druhu bez ohledu na to, zda se zachytily písemně, případně plynou z poznatků, znalostí, zkušeností, zručností a schopností odborně kvalifikovaných zaměstnanců a jsou určeny pro kvalitu nebo konkurenceschopnost činností a procesů daného zaměstnavatele.
Závěrem je možné uvést, že důvěrné informace ve firemní praxi mezi zaměstnanci a zaměstnavateli mají specifický charakter důvěrných informací v kontextu ochrany osobních údajů zaměstnanců podle nařízení GDPR. Tyto důvěrné informace zahrnují poznatky týkající technologického, ekonomického a právního obsahu, které je možné odlišit od standardních zdrojů pracovní síly, a které jsou v řízení lidských zdrojů obvyklé. Jsou to informace mající podstatný konkurenční a kvalitativní potencionál pro zaměstnavatele a případně také pro jednotlivé zaměstnance z hlediska jejich uplatnění ve firemní praxi. Mají tak technologický, ekonomický a specifický právní obsah. Jsou to konkrétně neveřejné technické koncepty a řešení v rámci firemní praxe a podnikatelské činnosti dané firmy, a také je to například software, technické informace, ale i specifické množství jiných poznatků velmi heterogenního charakteru, které však vždy v minimální míře potenciální konkurenční výhodu v daném segmentu trhu z hlediska služeb i produktů pro daného zaměstnavatele.
Při ochraně osobních údajů a důvěrných informací zaměstnanců je možné identifikovat hlavní úkoly, kterým by se měly HR oddělení firem prakticky zabývat, konkrétně se pak jedná o následující hlavní až strategické úkoly:
Zásady ochrany osobních údajů: Personální oddělení musí nejen dodržovat nová práva zaměstnanců, ale také tato práva formalizovat a jasně formulovat pro zaměstnance v souladu se zpřísněnými požadavky GDPR na transparentnost a odpovědnost. Personální oddělení bude muset revidovat a aktualizovat své zásady ochrany osobních údajů, aby tato práva sdělilo. Toto je možné standardizovat i do praktických doporučení do firemní praxe.
Procesy týkající se řízení lidských zdrojů: V důsledku nařízení GDPR bude muset personální oddělení revidovat a aktualizovat mnoho svých stávajících procesů. Například zásada minimalizace znamená, že oddělení HR by mělo shromažďovat pouze údaje nezbytné pro daný úkol. To znamená, že oddělení HR bude muset přehodnotit všechny procesy, které zahrnují vyžadování osobních údajů od zaměstnanců, jako je například nástup do zaměstnání a další personální činnosti, které je vhodné standardizovat do praxe personálních činností firem.
Bezpečnost a ochrana důvěrných informací osobních údajů: Vzhledem k tomu, že sázky na nedodržení nařízení jsou vysoké, je třeba se s předstihem před termínem GDPR postarat o bezpečnost. Jedním z kroků, které by HR oddělení mělo učinit, je zajistit, aby správní zaměstnanci měli správnou úroveň přístupu, pokud jde o prohlížení údajů zaměstnanců. Přístup k údajům zaměstnanců by měly mít pouze ty role, které je skutečně potřebují, což platí i pro externí dodavatele. Bezpečnost a nakládání s osobními údaji je možné specifikovat jak pro organizaci dané firmy, tak relevantně pro jednotlivé zainteresované strany v kontextu podnikatelské činnosti dané firmy.
Správa souborů zaměstnanců: V souvislosti s nařízením GDPR vzniknou nové složky zaměstnanců, které musí personalisté nechat podepsat nebo potvrdit. Kromě nových dokumentů klade GDPR větší důraz na včasné vymazání dokumentů, protože společnost může být pokutována za uchovávání nepotřebných údajů. Personální oddělení bude muset přezkoumat své stávající zásady uchovávání spolu s procesem správy dat vypršení platnosti dokumentů, a to jak u tištěné dokumentace zaměstnanců, tak u jejich elektronické podoby. Zavedení standardních činností a procesů může podstatně eliminovat problémy a chybovost, které mohou být zdrojem finančních sankcí pro danou firmu.
Aplikace GDPR do firemní praxe
V analytické části tohoto článkuje možné se zaměřit na problematiku správné aplikace GDPR do firemní praxe. V této souvislosti jsou formulovány jednotlivé kroky ve firemní praxi v kontextu řízení lidských zdrojů, které je možné rozpracovat následujícím způsobem. V rámci aktualizace interních předpisů firem v oblasti HR je nutné zkontrolovat a vyhodnotit všechna data, která jsou realizována v souladu s řízením lidských zdrojů. V této souvislosti je nutné spolupracovat se správnými odděleními v rámci dané firemní organizace, konkrétně se jedná o IT oddělení, právní oddělení, HR oddělení a jejich soulad při řešení ochrany osobních údajů i důvěrných údajů a s tímto souvisí strategický cíl verifikovat všechna relevantní data, která personální oddělení spravuje. Případně jsou to data a informace, která je nutná aktualizovat a případně standardizovat do praxe firemní organizace a struktury a s tímto související i provedení nutných nebo relevantních změn.
Zhodnocení a aktualizace toho, jaké osobní údaje je nutné mít ve firemní evidenci i v kontextu nařízení GDPR a souvisejících pracovněprávních předpisů. Je relevantní vymazat všechna data a informace, které nejsou relevantní, a také je nutné aktualizovat procesy a činnosti týkající se řešení archivace a správy dokumentů v rámci zpracování osobních dat. Zavedení transparentnosti z hlediska správy a řízení osobních informací včetně důvěrných informací v rámci firmy v kontextu řízení lidských zdrojů. Je vhodné vypracovat obecný postup nebo způsob, jak jasně a zřetelně informovat zaměstnance o jejich právech v rámci správy jejich osobních údajů a případně též důvěrných informací mezi zaměstnanci a zaměstnavatelem. Je žádoucí poskytnout zaměstnancům přístup k platformě, kde mohou snadno opravit a/nebo vymazat své osobní údaje, a to za předpokladu, že takový informační systém ve firmě existuje, a že je to takto v rámci firmy technicky řešeno a dovoleno.
Nutnost provést bezpečnostní kontrolu. Zkontrolujte, kdo má přístup k jakým údajům, a zaveďte správné kontrolní mechanismy. Vytvořte plán reakce na narušení bezpečnosti údajů (nebo zkontrolujte a aktualizujte stávající plán).
Naplánovat průběžné interní vzdělávání v oblasti bezpečnosti. Spojte se se všemi partnery a dodavateli, kteří mají přístup k údajům vašich zaměstnanců, a zjistěte, jak budou dodržovat nařízení GDPR.
Přiřadit odpovědnost v rámci řízení lidských zdrojů a jednotlivých pracovních pozic v organizaci firmy. Určete, zda vaše organizace potřebuje pověřence pro ochranu osobních údajů (DPO). Pokud nepotřebujete zaměstnat pověřence pro ochranu osobních údajů, zajistěte, abyste měli jasnou hierarchii řízení všech procesů zabezpečení a správy dat.
Výhody dodržování nařízení GDPR vyplývající pro současnou firemní praxi. Soulad s nařízením GDPR může být výzvou, ale pro oddělení lidských zdrojů je to také příležitost ke zlepšení zabezpečení a transparentnosti, což má výhodu v podobě posílení značky zaměstnavatele společnosti. V důsledku souladu s nařízením GDPR mohou zaměstnavatelé:
Standardizovat procesy správy dat. Podle současné směrnice o ochraně osobních údajů se zákony v jednotlivých zemích liší. Pro každého zaměstnavatele s mezinárodními zaměstnanci je správa různých právních požadavků složitá a časově náročná. Nařízení GDPR tyto požadavky zjednodušuje ve všech zemích EU a dává personálnímu oddělení možnost standardizovat své procesy. Výsledkem je jednodušší vedení záznamů a menší administrativní zátěž pro personální oddělení. Spíše než jako soubor restriktivních omezení je třeba GDPR vnímat jako příležitost pro HR optimalizovat procesy správy dat a také posílit značku zaměstnavatele pro svou společnost.
Udělejte dojem na nové zaměstnance a zaměstnavatele. Vaši zaměstnanci se budou cítit bezpečně, protože budou vědět, že jejich data jsou ve vašich rukou v bezpečí. Noví zaměstnanci se budou cítit v pohodě, protože budou vědět, že jejich nový zaměstnavatel je na špičce v oblasti ochrany osobních údajů. A každý, kdo se v minulosti setkal s kompromitací svých dat, zaměstnanci také ocení závazek dané firmy k zabezpečení osobních dat a důvěrných informací.
Vystupte z celého souboru zaměstnanců. Vzhledem k tomu, že stále více společností se potýká s únikem dat, je vhodné, aby společnost brala nařízení GDPR vážně. Informování o souladu s nařízením GDPR ukáže zákazníkům a investorům, že vaše společnost je proaktivní a digitálně zdatná.
Zpracování údajů před přijetím nových zaměstnanců
Postup před vznikem pracovního poměru upravuje ustanovení § 30-32 zákoníku práce, o kterém již bylo pojednáno v textu tohoto článku výše. Zpracováním údajů je ve velkých firmách pověřen personální útvar, v menších jeden personalista, případně si tuto problematiku řeší sám vlastní nebo top management dané firmy. Přijímání zaměstnanců ve firmách lze rozdělit do dvou skupin. První je zaměřena na uchazeče do dělnických profesí a na profese týkající se běžných administrativních činností. Uchazeči posílá místně příslušný úřad práce, uchazeči dále hledají nové pracovní místo na základě inzerce v médiích a další relevantní zdroje osobních dat a informací. Uchazeči podle pokynů personálního oddělení posílají o sobě potřebné informace, strukturovaný životopis, ověřené kopie potřebných dokumentů. V této části není nutný souhlas uchazečů s osobními údaji, které předali. Na základě jejich vyhodnocení personální úsek zve zájemce na pracovní pohovory. Druhá skupina je zaměřena na manažerské pozice. Kandidáti jsou vybíráni na základě vzájemné spolupráce firmy a assessment centra, ve kterém se koná výběrové řízení. Pro firmy je tento krok finančně náročný, ale má záruku, že bude vybrán uchazeč, který byl u výběrového řízení nejúspěšnější, Správce má za povinnost ještě před zahájením personální aktivity určit, k čemu budou dokumenty sloužit, v jakém rozsahu budou zpracovávány. Zaměstnavatel je seznámen s tím, že jeho povinností je po skončení celého procesu dokumenty nevratně zlikvidovat. Maximální doba uchování údajů v této souvislosti s rozsahu jednoho roku. Nakládání s osobními údaji je stanoveno v zákoně na ochranu na osobních údajů a též v souvislosti s tím v nařízení GDPR. Legislativu je firma povinna dodržovat. Zaměstnanec, který může nastoupit na konkrétní pracovní místo, první den po nástupu je s ním uzavřena pracovní smlouva, která má standardní náležitosti. Odpovědný pracovník je povinen jménem firmy seznámit ho s právy, povinnostmi, s platovými podmínkami, možností výše odměn za nadstandardně odvedený pracovní výkon. V závěru prvního dne obdrží pracovní smlouvu, platební výměr, podle typu vykonávané práce dohodu o hmotné odpovědnosti s tím, že personální pracovník ihned zakládá tzv. osobní spis zaměstnance. Zaměstnanec je navíc povinen předložit zápočtový list. Každý zaměstnanec povinně absolvuje vstupní školení a školení o bezpečnosti práce a ochrany zdraví při práci. Pracovní poměr vzniká dnem nástupu do zaměstnání.
Co by se dalo legislativně vylepšit
V návrhové části tohoto článkuje možné uvést, že nařízení GDPR celkově komplexním a flexibilním nástrojem pro zajištění vývoje nových technologií v souladu s ochranou osobních a důvěrných informací. Je možné navrhnout, aby ve firemní praxi byl kladen důraz na technické a technologické inovace týkající se ochrany osobních údajů i důvěrných osobních informací, a to v souladu s právními předpisy, ale též technickými a technologickými možnostmi dané firmy. Jako žádoucí se jeví provádět zálohy osobních dat, a také aktualizovat IS firmy z hlediska správy a bezpečnosti osobních údajů a důvěrných informací. Například proti kybernetickým útokům či jiným formám narušení. Provádění základních zásad GDPR je obzvláště důležité pro intenzivní zpracování údajů v rámci činnosti personálního oddělení dané. V této souvislosti lze navrhnout zejména aktualizaci a standardizaci procesů a činností v souladu s nakládáním a zpracováním osobních údajů i důvěrných informací. Je to podstatné doporučení pro zjednodušení a zefektivnění spolupráce a činností jednotlivých oddělení firmy v kontextu HR oddělení firmy. Přístup nařízení založený na riziku a neutrální vůči technologiím poskytuje úroveň ochrany údajů, která je přiměřená riziku zpracování i prostřednictvím nových technologií. Technologicky neutrální přístup GDPR, který je odolný vůči budoucnosti, byl vyzkoušen během pandemie COVID-19 a osvědčil se. Jeho pravidla založená na zásadách zpracování osobních údajů podpořil vývoj nástrojů pro boj proti epidemii COVID-19 ve firemní praxi a jeho monitorování. Přístup GDPR založený na budoucnosti a riziku se uplatní také v budoucím rámci EU pro umělou inteligenci a při provádění evropské strategie v oblasti údajů. Cílem datové strategie je podpora dostupnosti dat a vytvoření společných evropských datových prostorů. Do budoucna lze navrhnout, aby se firemní praxe aktivně podílela na dalším vývoje legislativy v oblasti ochrany osobních údajů, ale též důvěrných informací, a to zejména s ohledem na pokračující harmonizaci právní úpravy, a také na sjednocení jednotlivých pojmů, zahrnující například pojem know-how v rámci EU či jiné relevantní pojmy v této souvislosti. Jak mechanismus spolupráce a konzistence funguje v praxi v kontextu osobních dokladů a jejich zpracování v pracovněprávních vztazích a je možné demonstrovat změnami v koncepci osobních dokladů v ČR v následujících letech, a to i s rozvojem digitalizace v rámci ČR, ale také technických a technologických inovací ve zpracování osobních dokladů a jejich využití v pracovněprávních vztazích. Orgány pro ochranu údajů velmi aktivně spolupracují jako členové EDPB. Již nyní intenzivně využívají nástroj spolupráce spočívající ve vzájemné pomoci. Pokud jde o mechanismus jednotnosti, EDPB přijal v posledních dvou letech několik stanovisek i v kontextu vývoje aktuální a v krátkém časovém horizontu připravované legislativy. Zatím však nebylo zahájeno ani řešení sporů, ani naléhavé řízení. Obecněji řečeno, jak vyplývá ze zprávy, je při řešení přeshraničních případů zapotřebí účinnější a soudržnější přístup při využívání nástrojů spolupráce stanovených v obecném nařízení o ochraně osobních údajů. V tomto ohledu panuje velmi široká shoda ze strany Evropského parlamentu, Rady, zúčastněných stran i orgánů pro ochranu osobních údajů.
Mezi hlavní otázky, které je třeba v této souvislosti řešit i se zohledněním ochrany osobních údajů, ale také důvěrných informací s ohledem na firemní praxi v rámci ČR, jako členské země EU, patří především:
- rozdíly ve vnitrostátních správních postupech, které se týkají technického řešení a zpracování osobních údajů zaměstnanců a stanovení toho, jak osobní informace zaměstnanců musí uchovávat firmy podle současné platné legislativy;
- různé výklady pojmů týkajících se mechanismu spolupráce a dalších pojmů v kontextu ochrany osobních údajů nebo důvěrných informací, tento problém je dlouhodobý a stejně tak v dlouhodobém časovém horizontu bude nutné tuto harmonizaci řešit;
- různé přístupy k zahájení postupu spolupráce, načasování a sdělování informací, které jsou relevantní z hlediska utváření aktuální právní úpravy i vývoje budoucí právní úpravy v rámci ochrany osobních údajů i důvěrných informací ve firemní praxi.
Závěrem
Nařízení GDPR nabízí modernizovaný soubor nástrojů pro usnadnění předávání osobních údajů z EU do třetí země nebo mezinárodní organizace, přičemž je zajištěno, že údaje budou i nadále požívat vysoké úrovně ochrany. Je možné tento kontext vztáhnout také na důvěrné informace v souvislosti s platnými pracovněprávními předpisy. Tato kontinuita ochrany je důležitá vzhledem k tomu, že v dnešním světě se údaje snadno přesouvají přes hranice a ochrana zaručená nařízením GDPR by byla neúplná, pokud by se omezovala na zpracování uvnitř EU. Soubor nástrojů zahrnuje aktivní spolupráci s klíčovými partnery s cílem dosáhnout zjištění přiměřenosti a přinesl důležité výsledky, jako je vytvoření největšího prostoru volného a bezpečného pohybu údajů na světě mezi EU a Japonskem. Probíhající práce se týká také dalších mechanismů předávání, jako jsou standardní smluvní doložky a certifikace a další relevantní interní firemní dokumenty. GDPR dává vnitrostátním orgánům pro ochranu údajů harmonizované a posílené pravomoci v oblasti prosazování ochrany osobních údajů a důvěrných informací. Od začátku uplatňování nařízení využívají orgány pro ochranu osobních údajů širokou škálu nápravných pravomocí stanovených v GDPR, jako jsou správní pokuty, varování a důtky, příkazy k vyhovění žádostem subjektů údajů, příkazy k uvedení operací zpracování do souladu s nařízením, k opravě, výmazu nebo omezení zpracování. Sankční mechanismy jsou tak řešeny poměrně komplexně. V rámci budoucí právní úpravy GDPR je možné formulovat seznam opatření. Hlavním cílem v této fázi je podpořit harmonizované a konzistentní provádění a prosazování GDPR v celé EU. Z hlediska tvorby i existence nových osobních údajů nebo důvěrných informací ve firemní praxi v jednotlivých zemích EU pak evropská technologická suverenita začíná zajištěním integrity a odolnosti technologiím datové infrastruktury, sítí a komunikací. Jejich aktualizace a technické a technologické inovace se jeví v jednotlivých časových horizontech jako podstatné a žádoucí. Vyžaduje vytvoření správných podmínek v zemích EU s cílem rozvíjet a využívat vlastní klíčové kapacity, čímž se sníží závislost na jiných zdrojích. Schopnost zemí EU definovat vlastní soubor pravidel a hodnot v digitálním věku bude posílena těmito kapacitami i v souvislosti s tvorbou nových moderních způsobů zpracování osobních informací a v tomto kontextu také komplexních osobních dokladů založených na technických a technologických inovacích.