Denne sidste del af den todelte blog om Brexit og GDPR vil se på overholdelse og ansvarlighed, hvad Brexit betyder for virksomheder i Storbritannien, og hvor vi står nu med GDPR.
Læs den første del her.
GDPR - Overholdelse og ansvarlighed
Overholdelse af GDPR kræver en endelig identifikation af alle personoplysninger, der opbevares, tillid til at angive, hvordan og hvorfor de pågældende data indsamles, og evnen til at angive præcist, hvor de indsamlede data opbevares. For at en dataansvarlig organisation kan opnå GDPR-overholdelse, skal de først og fremmest foretage en vurdering af deres nuværende status for at identificere overensstemmelseshuller. Gennem prioritering af afhjælpningsforanstaltninger kan en organisation derefter skabe en vej mod GDPR-overholdelse.
De dataansvarlige bør også være opmærksomme på, at de i sidste ende er ansvarlige for at sikre overholdelse og derfor kan holdes ansvarlige for behandlingsaktiviteterne hos databehandlere (f.eks. cloud-tjenesteudbydere), som de engagerer. Dette kræver omhyggelig overvejelse, når de opretter eller reviderer kontrakter, der strækker sig ud over den 25. maj 2018.
Et tilbagevendende tema i GDPR er ansvarlighed. Organisationer skal være i stand til at bevise over for både registrerede og tilsynsmyndigheder, at de har valgt den rigtige vej, ofte flere år efter at den oprindelige beslutning er blevet truffet. Databeskyttelsesrådgivere (DPO'er) er påkrævet for visse kategorier af organisationer, f.eks. offentlige myndigheder og organisationer, der er involveret i behandling af højrisikooplysninger. Databeskyttelsesrådgiveren skal have "ekspertviden" om databeskyttelseslovgivningen, og det er deres pligt at informere og rådgive om overholdelse. GDPR fastslår også behovet for en tilgang til databeskyttelse ved udformning og ved standardbehandling i forbindelse med deres behandling af personoplysninger. Dette kræver, at organisationer indtager en tankegang baseret på proaktivitet frem for reaktivitet og forebyggende frem for afhjælpende foranstaltninger. Det anbefales at anvende konsekvensanalyser af privatlivets fred (PIA'er), og i nogle tilfælde er det påkrævet, for at hjælpe i denne henseende.
Brexit ind, Big Business ud?
Vi lever i en tid, hvor data naturligt bevæger sig på tværs af grænserne. Hvis Det Forenede Kongerige ikke anses for at have et tilstrækkeligt beskyttelsesniveau, vil enhver overførsel til Det Forenede Kongerige juridisk set skulle ske via EU-modelklausuler, hvilket er en meget administrativ tung opgave.
Modelklausuler bruges til at tillade overførsel af data til lande uden for EU og reguleres af tilsynsmyndighederne. Der kan også være behov for bindende virksomhedsregler (BCR'er). Disse er grundlæggende det samme instrument som modelklausuler, men de udarbejdes af virksomheden selv for virksomhedsinterne overførsler. Dette vil medføre yderligere udgifter og kan få nogle virksomheder til at flytte en del af deres aktiviteter til EU, i hvert fald indtil tingene bliver klarere. Andre britiske virksomheder vil sandsynligvis oprette skuffeselskaber i EU for at afgrænse data af hensyn til enkelheden, en kompliceret og dyr løsning, der skal gøre datahåndteringen lettere. Virksomheder fra lande uden for EU vil måske ganske enkelt undgå at etablere sig i Det Forenede Kongerige overhovedet.
GDPR - Hvor er vi nu?
Statssekretær Karen Bradley, parlamentsmedlem, bekræftede på mødet i det udvalg for kultur, medier og sport den 24. oktober 2016: "Vi bliver medlemmer af EU i 2018, og derfor vil det være forventeligt og helt normalt, at vi vælger at tilslutte os GDPR og senere ser på, hvordan vi bedst kan hjælpe britiske virksomheder med databeskyttelse, samtidig med at vi opretholder et højt beskyttelsesniveau for offentligheden."
I flere år var det faktisk ICO og den britiske regering, der har presset på for at få reformeret EU-lovgivningen med henblik på en fortsat udvikling af den britiske digitale økonomi. Informationskommissær Elizabeth Denham kommenterede dette:
"Vækst i den digitale økonomi kræver offentlig tillid til beskyttelsen af (personoplysninger) ... ICO er forpligtet til at hjælpe virksomheder og offentlige organer med at forberede sig på at opfylde kravene i GDPR forud for maj 2018 og derefter."
Denham erkender også, at der stadig vil blive stillet spørgsmål om, hvordan GDPR vil fungere, når Det Forenede Kongerige forlader EU, men det bør ikke aflede opmærksomheden fra opgaven med at overholde GDPR inden maj 2018.
Hvis du vil sikre, at dine medarbejdere er fuldt ud klar over GDPR, og hvordan den vil gælde for din organisation, kan du kontakte os for at få flere oplysninger eller anmode om en demo af vores eLearning-kursus om GDPR.