Med en verden, der bliver en stadig mere forbundet planet, har det enorme omfang af personlige data, der nu deles over hele kloden, tvunget EU til at revidere sin databeskyttelseslovgivning for at sikre, at folks grundlæggende rettigheder i forbindelse med data beskyttes effektivt.
Organisationer har hele tiden med meget følsomme personoplysninger at gøre, og derfor er det ekstremt vigtigt, at de ansvarlige for det juridiske tilsyn virkelig forstår den nye forordning og ved, hvordan den vil fungere i praksis.
GDPR's konsekvenser for den juridiske afdeling
Med GDPR er det afgørende at erkende, at overholdelse er et fælles ansvar, og at det simpelthen ikke er nok at begrænse ansvaret til en enkelt person eller afdeling. Enhver organisation, der håndterer personligt identificerbare oplysninger, skal etablere processer, der giver øget samarbejde på tværs af forretningsfunktioner.
GDPR er en af de mest betydningsfulde juridiske rammer, der er blevet gennemført i de sidste mange år. Veletablerede regler om juridiske privilegier og fortrolighed betyder, at juridiske afdelinger opbevarer betydelige mængder af forretningsfølsomme data.
Dette omfatter medarbejderes og kunders personlige data samt finansielle data og følsomme oplysninger om virksomhedskunder. Ifølge bedste praksis bør virksomhedskonsulenter og ledere af juridiske afdelinger sikre, at der er truffet passende sikkerhedsforanstaltninger.
Krav til virksomhedskonsulenter
Den nye forordning medfører organisatoriske krav, ansvarlighedsforanstaltninger, krav om anmeldelse af brud og vurderinger af behandlingssystemer og, hvad der er vigtigst, specifikke begrænsninger omkring overførsel af personoplysninger til tredjelande, der ikke anses for at have tilstrækkeligt robuste databeskyttelseskrav.
Ud fra et juridisk synspunkt er der strammere regler for, hvad der udgør "samtykke", og med GDPR skal samtykket være eksplicit. Dette er en vigtig del af GDPR, som har forbedret enkeltpersoners rettigheder med hensyn til profilering, dataportabilitet, databehandling og aktindsigt.
For at sikre, at Corporate Counsel er i overensstemmelse med GDPR, bør de:
1. Gennemgå de eksisterende databeskyttelsespolitikker for at sikre, at de er i overensstemmelse med de nye bestemmelser
2. Udarbejd en GDPR-konsekvensrapport for at se, hvordan den vil påvirke eksisterende politikker og processer
3. Demonstrer forvaltningen af personoplysninger på en måde, der er i overensstemmelse med forordningerne
4. Udpeg om nødvendigt en databeskyttelsesansvarlig (DPO). Dette er nødvendigt, hvis din virksomhed eller juridiske afdeling tilbyder varer og tjenester til eller indsamler oplysninger om EU-personer
5. Gennemgå meddelelser om samtykke og rimelig behandling for at tilpasse dem til GDPR
6. Identificer et lovligt grundlag, før du kan behandle personoplysninger
7. Sørg for, at alle medarbejdere, der beskæftiger sig med behandling af personoplysninger, er opmærksomme på den nye forordning og de ændringer, som din juridiske afdeling skal gennemføre som følge heraf.
Nogle juridiske afdelinger har været langsomme til at acceptere, at god datasikkerhed starter hos de jurister og det administrative personale, der bruger og administrerer virksomhedens data på daglig basis. Lad dig ikke narre til at tro, at dette er et it-problem. Databeskyttelse er et decideret juridisk begreb, og ledetråden ligger i ordet "beskyttelse".
De positive aspekter
Det er også nødvendigt for juridiske rådgivere at spore personligt identificerbare oplysninger og holde de registrerede personer opmærksomme på eventuelle løbende krav om offentliggørelse af oplysninger for at opnå GDPR-overholdelse i en e-discovery-kontekst.
Kun ved at have veldefinerede GDPR-procedurer og -politikker for behandling af persondata på plads vil Corporate Counsel være i stand til at reagere på hurtige retssager eller pres fra internationale tilsynsmyndigheder.
Denne udvikling af nye organisatoriske kompetencer drejer sig om evnen til at være mere smidig, menneskeorienteret, innovativ og kundeorienteret. GDPR er en central forordning, der understøtter denne digitale transformation. Det er vigtigt, at GDPR og privacy management indbygges i centrale organisatoriske transformationsprojekter.
Det betyder i sidste ende, at virksomhedskonsulenter og juridiske teams skal holde nøje øje med eksisterende og nye digitale projekter i organisationen. Det ser ud til, at GDPR vil gøre livet lidt mere kompliceret i de næste 18 måneder.