I och med att världen blir en alltmer uppkopplad planet har den enorma mängden personuppgifter som nu delas över hela världen tvingat EU att se över sin dataskyddslagstiftning för att se till att människors grundläggande rättigheter i samband med uppgifter skyddas på ett kraftfullt sätt.
Organisationer hanterar hela tiden mycket känslig personlig information, och därför är det oerhört viktigt att de som ansvarar för den juridiska tillsynen verkligen förstår den nya förordningen och hur den kommer att fungera i praktiken.
Konsekvenserna av GDPR för den juridiska avdelningen
Med GDPR är det viktigt att inse att efterlevnad är ett delat ansvar och att det helt enkelt inte räcker att begränsa ansvaret till en enskild person eller avdelning. Varje organisation som hanterar personligt identifierbar information måste upprätta processer som ger ökat samarbete mellan affärsfunktioner.
Dataskyddsförordningen är en av de viktigaste rättsliga ramarna som har införts under de senaste åren. Väletablerade regler om juridiska privilegier och sekretess innebär att juridiska avdelningar innehar stora mängder affärskänsliga uppgifter.
Detta omfattar anställdas och kunders personuppgifter samt finansiella uppgifter och känslig information om företagskunder. Enligt bästa praxis bör bolagsjurister och chefer för juridiska avdelningar se till att lämpliga säkerhetsåtgärder vidtas.
Krav på företagsjurister
Den nya förordningen medför organisatoriska krav, åtgärder för ansvarsskyldighet, krav på anmälan av överträdelser och bedömningar av behandlingssystem, och framför allt särskilda begränsningar för överföring av personuppgifter till tredje land som inte anses ha tillräckligt starka dataskyddskrav.
Ur juridisk synvinkel finns det strängare bestämmelser om vad som utgör "samtycke" och med GDPR måste samtycket vara uttryckligt. Detta är en viktig del av GDPR som har förbättrat individers rättigheter när det gäller profilering, dataportabilitet, databehandling och tillgång till uppgifter.
För att säkerställa att företagsjurister följer GDPR bör de:
1. Se över befintliga dataskyddspolicyer för att se till att de överensstämmer med de nya bestämmelserna
2. Gör en konsekvensrapport om GDPR för att se hur den kommer att påverka befintliga policyer och processer
3. Visa att hanteringen av personuppgifter sker på ett sätt som är förenligt med förordningarna
4. Vid behov utse ett dataskyddsombud (DPO). Detta är nödvändigt om ditt företag eller din juridiska avdelning erbjuder varor och tjänster till, eller samlar in uppgifter om personer från EU
5. Se över meddelanden om samtycke och rättvis behandling för att anpassa dem till GDPR
6. Identifiera en laglig grund innan du kan behandla personuppgifter
7. Se till att alla anställda som arbetar med behandling av personuppgifter är medvetna om den nya förordningen och de förändringar som din juridiska avdelning kommer att behöva genomföra till följd av den.
Vissa juridiska avdelningar har varit långsamma med att acceptera att god datasäkerhet börjar hos de jurister och den administrativa personal som dagligen använder och hanterar företagets data. Låt dig inte luras att tro att detta är ett IT-problem. Dataskydd är helt och hållet ett juridiskt begrepp och ledtråden finns i ordet "skydd".
Det positiva
Att spåra personligt identifierbar information och hålla de registrerade medvetna om alla pågående krav på utredning är också nödvändigt för att juridiska rådgivare ska kunna uppfylla GDPR-kraven i ett e-discovery-sammanhang.
Det är bara genom att ha väldefinierade GDPR-procedurer och policyer för behandling av personuppgifter på plats som bolagsjurister kan reagera på snabba tvister eller påtryckningar från internationella tillsynsmyndigheter.
Denna utveckling av ny organisatorisk kompetens handlar om förmågan att vara mer flexibel, personorienterad, innovativ och kundorienterad. GDPR är en central bestämmelse som ligger till grund för denna digitala omvandling. Det är viktigt att GDPR och integritetshantering byggs in i viktiga organisatoriska omvandlingsprojekt.
Slutsatsen är att bolagsjurister och juristgrupper måste hålla en noggrann koll på befintliga och nya digitala projekt inom organisationen. Det ser ut som om GDPR kommer att göra livet lite mer komplicerat under de kommande 18 månaderna.