Den allmänna dataskyddsförordningen(GDPR) träder i kraft den 25 maj och kommer att innebära en fullständig översyn av hur företag behandlar och hanterar uppgifter och ge enskilda personer större kontroll över vem som samlar in och behandlar deras uppgifter, vad de används till och hur de skyddas.
Trots att tidsfristen i maj närmar sig alltmer finns det fortfarande ett antal myter om GDPR som behöver avlivas.
TOP GDPR-myter
Myt 1: Alla företag måste utse en dataskyddsombud
Detta är fel. Endast vissa organisationer behöver utse ett dataskyddsombud enligt dataskyddsförordningen.
Du måste utse en dataskyddsombud om:
- du är en offentlig myndighet
- Din kärnverksamhet kräver storskalig, regelbunden och systematisk övervakning av enskilda personer.
- din kärnverksamhet består av storskalig behandling av särskilda kategorier av uppgifter eller uppgifter om brottsdomar och brott.
Dataskyddsombudet bör vara en expert på GDPR och integritetsskydd, eftersom de ansvarar för övervakning och rapportering av efterlevnaden av GDPR.
Dataskyddsombudet förväntas hjälpa till att vägleda registeransvariga och databehandlare genom att granska den interna efterlevnaden och vid behov föreslå lämpliga korrigerande rekommendationer. Dataskyddsombudet förväntas också agera på ett oberoende sätt inom organisationen.
Myt 2: GDPR påverkar bara europeiska företag
Detta är fel. Även om GDPR är en europeisk förordning har den större konsekvenser. Det spelar ingen roll var i världen du befinner dig, om ditt företag är baserat utanför EU men genomför affärstransaktioner med en person som är baserad i Europa, kommer GDPR att tillämpas.
Om ett företag har sitt huvudkontor utanför EU men bedriver verksamhet i Europa måste det också följa reglerna. GDPR handlar om personuppgifter och om var personen befinner sig när uppgifterna samlas in. Det är detta som avgör förordningens tillämplighet.
Myt 3: GDPR kommer inte att gälla för Storbritannien på grund av Brexit
Detta är fel. Dataskyddsförordningen kommer fortfarande att gälla efter brexit. GDPR är utformad för att reglera hur organisationer behandlar och kontrollerar EU-medborgares personuppgifter, oavsett var de befinner sig. Storbritannien kommer inte att lämna EU förrän i april 2019, så EU-lagstiftningen kommer att fortsätta att gälla i Storbritannien.
Myt 4: Böter är det största hotet mot ditt företag
Detta är falskt. Även om organisationer som bryter mot GDPR kan få böter på upp till 4 % av den globala årsomsättningen eller 20 miljoner euro, finns det en rad andra problem som företag som inte följer förordningen ställs inför.
GDPR kräver att organisationer ska avslöja alla personuppgiftsbrott för den relevanta tillsynsmyndigheten inom 72 timmar efter upptäckt. Om överträdelsen leder till en hög risk för att påverka en individs rättigheter och friheter måste även individen underrättas med omedelbar verkan.
Denna osäkerhet och förlust av uppgifter kan leda till att kunderna lämnar företaget och byter till konkurrenter. Förlusten av konsumenternas förtroende kan i sin tur skada ett företags rykte och leda till förlorade intäkter.
Myt 5: Samtycke är det enda sättet att behandla uppgifter
Detta är fel. Ett stort antal organisationer antar att samtycke är den enda rättsliga grunden för behandling av personuppgifter. Samtycke är bara ett av sex legitima syften som krävs för all behandling av personuppgifter.
Enligt GDPR är "laglig behandling" endast möjlig när:
- Den registrerade har gett sitt samtycke.
- Behandlingen är nödvändig för att fullgöra ett avtal med den registrerade.
- Behandlingen är nödvändig för att uppfylla en rättslig förpliktelse.
- Behandlingen är nödvändig för att skydda en registrerad persons eller en annan persons vitala intressen.
- Behandlingen är nödvändig för att utföra en uppgift som utförs i allmänhetens intresse eller för att utöva offentlig makt som tillkommer den registeransvarige.
- Behandlingen är nödvändig för att tillgodose den registeransvariges eller en tredje parts legitima intressen, utom när dessa intressen åsidosätts av den registrerades intressen, rättigheter och friheter.
Om du är osäker på om ditt företag är på rätt väg mot GDPR-överensstämmelse kan du kontakta oss för att ta reda på hur vi kan hjälpa dig. MetaPrivacy har utformats särskilt för att tillhandahålla bästa praxis för efterlevnad av dataskydd.