Den allmänna dataskyddsförordningen är den största ändringen av dataskyddslagarna på över 20 år. Den syftar till att ge EU-medborgarna mer kontroll över sina personuppgifter och träder i kraft den 25 maj 2018.
Även om detta är en ändring av EU-lagstiftningen kommer dess effekter att få återverkningar runt om i världen eftersom den gäller alla företag som innehar medborgares personuppgifter i Europa. Det är dessa företag som har ansvaret för att uppfylla kraven i GDPR. Det är en seger för den lilla människan och därför bör man förespråka mer kontroll över personuppgifter. Men det gör det till en komplex utmaning för företagen att uppnå GDPR-överensstämmelse.
Företag som bryter mot den allmänna dataskyddsförordningen riskerar böter på upp till 20 miljoner euro eller 4 % av den globala omsättningen. För att inte tala om ryktesspridning som ett företag kan ha svårt att komma tillbaka från. Nedan tittar vi på några av de andra sätt på vilka arbetsgivare kommer att ställas inför en extra börda när de strävar efter att följa GDPR. GDPR enkelt gjort med MetaCompliance.
GDPR enkelt gjort: - Dataintegritet
För närvarande är arbetsgivare skyldiga att förse anställda och arbetssökande med ett integritetsmeddelande som innehåller viss information. Den allmänna dataskyddsförordningen kommer att kräva mycket mer detaljerad information för anställda och arbetssökande om de ska uppfylla kraven i GDPR.
Detta inkluderar:
- Hur länge uppgifterna lagras
- Om uppgifterna kommer att överföras till andra länder
- Information för att möjliggöra en begäran om tillgång för den som berörs
- Information för att få personuppgifter raderade eller rättade under särskilda omständigheter.
Samtycke och anmälan av överträdelser för GDPR-överensstämmelse
Många företag behandlar för närvarande personuppgifter på grundval av arbetstagarnas samtycke. Detta tillvägagångssätt har ofta granskats och kommer att kräva strängare krav när den allmänna dataskyddsförordningen träder i kraft nästa år. Detta kommer att göra det svårare för företag att förlita sig på samtycke för behandling. I stället kommer företagen att tvingas titta på andra rättsliga grunder för att behandla personuppgifter.
Efterlevnaden av GDPR kommer också att vara beroende av ett nytt obligatoriskt krav på rapportering av överträdelser. Detta innebär att om en dataintrång inträffar är det arbetsgivarens uppgift att meddela och tillhandahålla viss information till dataskyddsmyndigheten inom 72 timmar. Om överträdelsen är så allvarlig att den utgör en risk för enskilda personers rättigheter och friheter måste de också anmälas.
Dataskyddsombud
Som vi diskuterade i en tidigare blogg är ansvarsskyldighet nyckeln till den allmänna dataskyddsförordningen. Därför måste alla offentliga myndigheter och de privata företag som är involverade i regelbunden övervakning eller storskalig behandling av EU-medborgares personuppgifter utse ett dataskyddsombud.
Deras roll när det gäller den allmänna dataskyddsförordningen kommer att vara att se till att dokumenterade processer, konsekvensbedömningar av dataskydd och en metodik för datasäkerhet finns på plats innan förordningen träder i kraft nästa år. Utan dataskyddsombud på plats kommer arbetsgivare sannolikt att misslyckas med att uppfylla GDPR.
Den allmänna dataskyddsförordningen innebär att integriteten har blivit mer omfattande. Tidigare har olika avdelningar, t.ex. personalavdelningen eller den juridiska avdelningen, hanterat dataskyddet på ett ad hoc- och reaktionärt sätt. Men eftersom datamängden inom hela organisationsspektrumet exploderar är det helt enkelt inte längre möjligt att uppnå GDPR-överensstämmelse på detta sätt.
Är du arbetsgivare och har tankar om hur GDPR kommer att påverka ditt företag? Lösningar på GDPR gjort enkelt, eller om du har några allmänna kommentarer om GDPR är du välkommen att lämna en kommentar nedan.