Dataskyddsdirektivet är ett EU-direktiv som antogs 1995 och som reglerar behandlingen av personuppgifter inom EU.
I alla avseenden var detta direktiv lämpligt för sitt syfte vid den tidpunkten.
Mycket har dock hänt sedan 1995. Bandet Steps har till exempel bildats, upplösts, återbildats, upplösts igen och bildats igen (låt oss hoppas att de håller ihop den här gången, annars vore det en tragedi !).
Under den här perioden har vi också fått en mycket stor del av internet i våra liv. Det är där vi handlar, umgås och, låt oss erkänna det, tillbringar de flesta av våra dagar. Detta har resulterat i att olika företag (kanske ditt eget) över hela världen har en otrolig mängd uppgifter om dig och mig. Många av dem misslyckas med att skydda dem ordentligt.
Är du orolig?
Du har all rätt att vara det eftersom dina uppgifter finns överallt och kanske till och med säljs till högstbjudande på nätet. Vissa företag kanske inte är så försiktiga med uppgifterna eftersom de inte har varit tvungna att följa tillräckligt stränga regler tidigare.
Men frukta inte (ba ba ba daba da), EU:s dataskyddsdirektiv håller äntligen på att uppdateras för första gången sedan 1995. Ännu bättre är att det ändras från ett direktiv till en förordning, vilket innebär att det blir en riktig, omfattande och verkställbar lag.
Med det gamla direktivet innebar det att varje EU-land kunde tolka reglerna på olika sätt. Den nya förordningen innebär däremot att den ska genomföras på samma sätt av alla EU:s medlemsstater och att EU övervakar dess auktoritet i alla medlemsstater.
Först och främst innebär det att organisationer måste ägna särskild uppmärksamhet åt kunddata. Företagen måste behandla kunduppgifterna på samma sätt som de skulle vilja att deras egna uppgifter behandlades.
Uppgifter omdefinierade
Medborgarnas rättigheter står i centrum för den nya förordningen om allmän dataskyddsförordning, och organisationer måste avslöja den avsedda användningen och varaktigheten av kunduppgifter och skaffa tillstånd varje gång en ny användning av deras uppgifter föreslås.
EU-medborgare måste godkänna lagring, användning och hantering av sina personuppgifter och kan få tillgång till, ändra eller begära att deras uppgifter raderas.
Dessutom är det organisationernas uppgift att rapportera dataintrång till personer vars uppgifter har gått förlorade, och de måste göra detta inom 72 timmar. Ansvaret faller sedan också på företaget att utvärdera dataintrånget och införa förebyggande åtgärder för att se till att det inte händer igen.
En av de mest uppseendeväckande delarna av den nya GDPR-förordningen är siffrorna. För att se till att organisationerna följer den nya förordningen fullt ut kommer det att införas höga böter - så mycket som 4 % av deras globala omsättning eller 20 000 000 euro, beroende på vilket som är högst. Kolla in de stora företag som betalade ett högt pris före GDPR.
Men hur är det med Brexit eller om mitt företag är baserat i en annan region?
Brexit-schmexit. GDPR har en verkligt global inverkan. Organisationer som är baserade utanför EU måste följa förordningen om de hanterar, lagrar, förvaltar eller bearbetar EU-medborgares personuppgifter. Lagstiftningen träder också i kraft i maj 2018 innan Brexit sker. Storbritannien kommer alltså att ha samma bestämmelser att förhålla sig till som alla andra EU-länder, även efter att de lämnat EU.
Det är oerhört viktigt att alla företag som har affärer inom EU förstår och följer GDPR-lagstiftningen fullt ut (annars riskerar de stora böter!) För mer information om GDPR och vad du behöver göra härnäst, klicka här.
