Detta är den första delen av en blogg i två delar om GDPR och Brexit. Den första artikeln fokuserar på vad GDPR är, hur den kommer att påverka Brexit och vad vi kan förvänta oss som en del av den nya förordningen.
Läs den andra delen här.
GDPR - Vad är det?
I någon form kommer EU:s allmänna dataskyddsförordning (GDPR) att tillämpas i Storbritannien den 25 maj 2018, oavsett vad som händer med artikel 50 fram till dess. Övergången till ett enda EU-regelverk är den största förändringen inom dataskyddet på 20 år. Den är utformad för att förenhetliga och stärka dataskyddet för individen och syftar till att förenkla efterlevnaden för företag som är verksamma i hela Europa.
GDPR - (Br)Exit med stil?
Förhandlingarna om utträde ur EU kan ta flera år och under denna tid kommer Storbritannien att fortsätta att omfattas av EU:s dataskyddslagar. Oavsett Brexit kommer tillämpningen av GDPR att åligga alla brittiska företag som erbjuder varor eller tjänster till EU-medborgare eller som övervakar EU-medborgares beteende. Om Storbritannien lämnar EU men fortsätter att delta som medlem i Europeiska ekonomiska samarbetsområdet (EES) kommer landet att fortsätta att åtnjuta frihandel med EU på villkor att det underkastar sig EU:s lagar (inklusive GDPR). Ett utträde som innebär att Storbritannien blir helt oberoende kommer att åberopa regler om uppgiftsskydd i "tredje land" som kan begränsa Storbritanniens dataexport. EU-kommissionen skulle då behöva ta ställning till om Storbritannien efter brexit är en adekvat leverantör av uppgiftsskydd när det gäller uppgifter som exporteras från ett EES-land. För att få denna stämpel av kommissionen kommer Storbritannien nästan säkert att behöva förbättra sina dataskyddslagar och se till att de i allt väsentligt liknar dataskyddsförordningen, vilket gör det möjligt att bibehålla det nödvändiga flödet av personuppgifter mellan Storbritannien och EU.
GDPR - Vad är nytt?
Shakespeares Hamlet uppskattas vara cirka 20 000 ord lång och Europeiska unionens officiella tidning är ett långt dokument på 88 sidor och det borde inte förvåna någon att förändringarna är betydande och omfattar ett antal områden. Den territoriella räckvidden enligt definitionen i GDPR kommer att omfatta många fler organisationer utanför EU, och artikel 27 innebär att de organisationer utanför EU som omfattas av förordningen måste utse en representant inom EU. En bredare definition av personuppgifter som ingår i "särskilda kategorier", enligt artikel 9, omfattar behandling av genetiska och biometriska uppgifter, vilket kräver ett strängare skyddssystem för sådana uppgifter.
Dataskyddsförordningen inför också strängare kontroller för behandling av uppgifter som återspeglar en individs ras eller etniska ursprung, politiska, religiösa eller filosofiska åsikter eller övertygelser, och uppgifter som rör individens hälsa eller sexualliv. Till skillnad från det nuvarande dataskyddsdirektivet kräver dataskyddsförordningen att ett separat samtycke inhämtas för databehandlingar som inte har något samband med skälet till den ursprungliga insamlingen, och den registrerade kommer att ha rätt att när som helst återkalla ett sådant samtycke. När det gäller de böter som kan utdömas har GDPR tillsammans med antitrust- och antikorruptionslagar några av de högsta sanktionerna för bristande efterlevnad. Överträdelser som rör de registrerades rättigheter, överträdelser av samtycke och internationella överföringsrestriktioner kommer att leda till de högsta böterna, upp till 20 000 000 euro eller upp till 4 % av den totala globala omsättningen från föregående år, beroende på vilket belopp som är högst.
Om du vill se till att din personal är fullt medveten om GDPR och hur den kommer att tillämpas på din organisation kan du kontakta oss för mer information eller begära en demo av vår eLearning-kurs om GDPR.