Den generelle forordning om databeskyttelse er den største ændring af databeskyttelseslovgivningen i over 20 år. Den har til formål at give EU-borgerne mere kontrol over deres personlige data og træder i kraft den 25. maj 2018.
Selv om der er tale om en ændring af EU-lovgivningen, vil dens virkning give genlyd i hele verden, da den gælder for alle virksomheder, der opbevarer borgernes personoplysninger i Europa. Det er disse virksomheder, der har ansvaret for at overholde GDPR. Det er en sejr for den lille mand, og derfor bør man gå ind for mere kontrol over personlige data. Det gør det dog til en kompleks udfordring for virksomhederne at opnå GDPR-overholdelse.
For eksempel risikerer virksomheder, der overtræder den generelle forordning om databeskyttelse, bøder på op til 20 millioner euro eller 4 % af den globale omsætning. For ikke at nævne den skade på omdømme, som en virksomhed kan have svært ved at komme tilbage fra. Nedenfor ser vi på nogle af de andre måder, hvorpå arbejdsgivere vil stå over for ekstra byrder, når de stræber efter at overholde GDPR. GDPR gjort enkelt med MetaCompliance.
GDPR gjort enkelt: - Dataintegritet
I øjeblikket skal arbejdsgivere give ansatte og jobansøgere en meddelelse om beskyttelse af personlige oplysninger med visse oplysninger. Den generelle forordning om databeskyttelse vil kræve meget mere detaljerede oplysninger til ansatte og jobansøgere, hvis de skal overholde GDPR.
Dette omfatter:
- Hvor længe oplysningerne opbevares
- Om oplysningerne vil blive overført til andre lande
- Oplysninger, der gør det muligt at anmode om aktindsigt
- Oplysninger om at få personoplysninger slettet eller berigtiget under særlige omstændigheder.
Samtykke og anmeldelse af brud på GDPR-overholdelse
Mange virksomheder behandler i øjeblikket personoplysninger på grundlag af medarbejdernes samtykke. Denne fremgangsmåde er ofte blevet undersøgt og vil kræve strengere krav, når den generelle forordning om databeskyttelse træder i kraft næste år. Det vil gøre det vanskeligere for virksomheder at basere sig på samtykke til behandling. I stedet vil virksomhederne være tvunget til at se på andre juridiske grunde til at behandle personoplysninger.
Overholdelse af GDPR vil også afhænge af et nyt obligatorisk krav om indberetning af brud på persondataforordningen. Det betyder, at hvis der sker et databrud, vil det være op til arbejdsgiveren at underrette og give visse oplysninger til databeskyttelsesmyndigheden inden for 72 timer. Hvis bruddet er så alvorligt, at det udgør en risiko for enkeltpersoners rettigheder og frihedsrettigheder, skal de også underrettes.
Databeskyttelsesansvarlige
Som vi diskuterede i en tidligere blog, er ansvarlighed nøglen til den generelle forordning om databeskyttelse. Derfor skal alle offentlige myndigheder og private virksomheder, der er involveret i regelmæssig overvågning eller omfattende behandling af EU-borgeres personoplysninger, udnævne en databeskyttelsesrådgiver.
Deres rolle i forbindelse med den generelle databeskyttelsesforordning vil være at sikre, at der er dokumenterede processer, konsekvensanalyser for databeskyttelse og en datasikkerhedsmetode på plads, inden forordningen træder i kraft næste år. Hvis der ikke er databeskyttelsesansvarlige på plads, vil arbejdsgiverne sandsynligvis ikke kunne opfylde GDPR-forordningen.
Den generelle forordning om databeskyttelse betyder, at privatlivets fred er blevet mere omfattende. Tidligere ville forskellige afdelinger, f.eks. HR eller Juridisk afdeling, have behandlet databeskyttelse på en ad hoc og reaktionær måde. Men i takt med at mængden af data på tværs af organisationsspektret eksploderer, er det simpelthen ikke længere muligt at opnå GDPR-overholdelse på denne måde.
Er du arbejdsgiver og har du tanker om, hvordan GDPR vil påvirke din virksomhed? Løsninger på GDPR gjort nemt, eller hvis du har generelle kommentarer til GDPR, er du velkommen til at skrive en kommentar nedenfor.