Dette er den første del af en blogartikel i to dele om GDPR og Brexit. Denne første artikel fokuserer på, hvad GDPR præcist er, hvordan det vil påvirke Brexit, og hvad vi kan forvente som en del af den nye forordning.
Læs den anden del her.
GDPR - Hvad er det?
På en eller anden måde vil EU's generelle forordning om databeskyttelse (GDPR), der træder i kraft den 25. maj 2018, gælde i Storbritannien, uanset hvad der sker med artikel 50 fra nu af til da. Overgangen til et fælles EU-reguleringsmiljø er den største ændring inden for databeskyttelse i 20 år. Den er designet til at ensrette og styrke databeskyttelsen for den enkelte, og den har til formål at forenkle overholdelsen for virksomheder, der opererer i hele Europa.
GDPR - (Br)Exit med stil?
Forhandlingerne om udtrædelse af EU kan tage flere år, og i denne periode vil Det Forenede Kongerige fortsat være underlagt EU's databeskyttelseslovgivning. Uanset Brexit vil det påhvile enhver britisk virksomhed, der tilbyder varer eller tjenester til EU-borgere eller overvåger EU-borgeres adfærd, at anvende GDPR. Hvis Det Forenede Kongerige forlader EU, men fortsætter med at deltage som medlem af Det Europæiske Økonomiske Samarbejdsområde (EØS), vil det fortsat nyde godt af frihandel med EU på betingelse af, at det underkaster sig EU-lovgivningen (herunder GDPR). En udtrædelsesstrategi, der giver Det Forenede Kongerige total uafhængighed, vil påberåbe sig databeskyttelsesregler for "tredjelande", som kan begrænse Det Forenede Kongeriges dataeksport. EU-Kommissionen vil derefter skulle tage stilling til, om Det Forenede Kongerige efter Brexit er en passende leverandør af databeskyttelse med hensyn til data, der eksporteres fra et EØS-land. For at opnå dette godkendelsesstempel fra Kommissionen vil Det Forenede Kongerige næsten helt sikkert være nødt til at forbedre sine databeskyttelseslove for at sikre, at de i alt væsentligt svarer til GDPR, så det bliver muligt at opretholde den nødvendige strøm af personoplysninger mellem Det Forenede Kongerige og EU.
GDPR - Hvad er nyt?
Shakespeares Hamlet er anslået til at være omkring 20.000 ord lang, og Den Europæiske Unions Tidende er et langt dokument på 88 sider, og det bør ikke overraske nogen, at de pågældende ændringer er betydelige og dækker en række områder. Det territoriale anvendelsesområde som defineret i GDPR vil omfatte mange flere ikke-EU-organisationer, idet artikel 27 håndhæver udpegelsen af en repræsentant i EU for disse ikke-EU-organisationer, der er omfattet af forordningen. En bredere definition af personoplysninger, der er omfattet af "særlige kategorier", som anført i artikel 9, omfatter behandling af genetiske og biometriske data, hvilket kræver en strengere beskyttelsesordning for sådanne data.
GDPR indfører også strengere kontrol med behandlingen af oplysninger, der afspejler en persons race eller etniske oprindelse, politiske, religiøse eller filosofiske holdninger eller overbevisninger samt oplysninger om personens helbred eller seksuelle liv. I modsætning til det nuværende databeskyttelsesdirektiv kræver GDPR, at der indhentes særskilt samtykke til databehandlingsaktiviteter, der ikke har noget at gøre med årsagen til den oprindelige indsamling, og at den registrerede har ret til at trække et sådant samtykke tilbage til enhver tid. Med hensyn til de bøder, der kan pålægges, er GDPR sammen med antitrust- og antikorruptionslove nogle af de højeste sanktioner for manglende overholdelse af reglerne. Overtrædelser i forbindelse med registreredes rettigheder, overtrædelser af reglerne om behandling af samtykke og internationale overførselsrestriktioner vil medføre de største bøder på op til 20 000 000 EUR eller op til 4 % af den samlede globale omsætning fra det foregående år, alt efter hvad der er højest.
Hvis du vil sikre, at dine medarbejdere er fuldt ud klar over GDPR, og hvordan den vil gælde for din organisation, kan du kontakte os for at få flere oplysninger eller anmode om en demo af vores eLearning-kursus om GDPR.
