GDPR: Få korrekta fakta

Det har diskuterats mycket om EU General Data Protection Regulation (GDPR) under det senaste året eller så, och – naturligtvis – har vissa kommentarer varit vilseledande eller helt enkelt felaktiga.

Några av dessa missuppfattningar har samlats in i en blogg-serie publicerad av Information Commissioner’s Office (ICO).Det klargör att GDPR inte kommer att leda till:

Massiva böter

GDPR ger tillsynsmyndigheter befogenhet att utfärda böter på upp till 20 miljoner euro eller 4 % av den årliga globala omsättningen, beroende på vilket som är störst.

Detta faktum har använts för att betona hur viktigt det är att följa GDPR. Till exempel, Hävdade The Register att, om GDPR hade trätt i kraft i fjol, skulle böter som uppburits mot små och medelstora företag ha haft en “katastrofal” inverkan, vilket skulle kunna leda till att många av dem försvann från marknaden.

Men Elizabeth Denham, som är chef för ICO, säger att ekonomiska sanktioner kommer att bli en sista utväg.Detta kommer nästan säkert att vara fallet för de flesta tillsynsmyndigheterna, för även om GDPR syftar till att göra organisationer mer ansvariga för hanteringen av personuppgifter, kan i de flesta fall meddelandet göras lika bra med varningar, korrigeringsorder och reputational skada.

Det betyder inte att organisationer inte behöver oroa sig för att få böter.Det råder ingen tvekan om att alla tillsynsmyndigheter kommer att vara villiga att ta ut stora böter för flagranta överträdelser av GDPR.

En översyn av dataskyddspraxis

Några av de mer hyperboliska kommentarerna om GDPR föreslår att organisationer kommer att vara mycket begränsade i vad de kan göra. Se till exempel, the Sun’s rapport om att “[b]yggare, städare och trädgårdsmästare kan möta stora böter bara för att skicka ett EMAIL”.

I själva verket liknar majoriteten av GDPR´s krav gällande lagstiftning om dataskydd.Det enda som förändrats är att organisationer behöver betona dataskydd och ge individer större kontroll över deras data.Organisationer kommer säkert att kunna skicka e-postmeddelanden (och nästan allt annat som för närvarande tillåts), men de behöver en legitim anledning att skicka e-postmeddelandet, skydda vilken information de har lagrat hos mottagarna och låta de registrerade få tillgång till den informationen.

Obligatoriskt samtycke

Många vi pratar med är oroade för att få samtycke, så vi förklarar att organisationer inte behöver förlita sig på samtycke till att behandla data.

Samtycke är en av sex lagliga skäl för insamling av personuppgifter, men är det minst föredragna alternativet.Om du har använt samtycke till att samla in data och sedan vill återanvända den informationen till ett annat ändamål måste du be om allas samtycke igen.Den som vägrar att samtycka eller inte svarar måste tas bort från dina uppgifter.

På samma sätt är individer fria att återkalla sitt samtycke när som helst.Det innebär att du måste ta bort dem från dina uppgifter, och om du inte gör det riskerar din organisation disciplinera åtgärder från den behöriga tillsynsmyndigheten.

Det finns emellertid tillfällen då samtycke är den lämpligaste grunden, så du måste vara medveten om dina skyldigheter.

Orealistiska dataöverträdelse aviseringskrav

Det har varit mycket förvirring om reglerna för rapportering av dataöverträdelser.Som ICO noterar har många kommentatorer felaktigt hävdat att alla överträdelser måste rapporteras, och att rapporterna behöver tillhandahålla noggranna uppgifter om överträdelsen.

Det är bara obligatoriskt att anmäla ett brott mot personuppgifter om det sannolikt kommer att medföra en risk för människors rättigheter och friheter.Detta omfattar betydande ekonomiska eller sociala nackdelar, till exempel diskriminering, ryktes eller ekonomisk förlust.

Organisationer måste komma ihåg att om det finns en hög risk för människors rättigheter och friheter, kommer de också att behöva rapportera överträdelsen mot de drabbade individerna.

Eventuella brott som uppfyller dessa krav måste rapporteras inom 72 timmar efter upptäckten.Det är därför som rapporten inte behöver innehålla noggranna detaljer – åtminstone initialt.GDPR förstår att organisationerna inte kommer att ha alla fakta inom tidsfristen, men att få ner de grundläggande fakta snabbt påskyndar processen till återhämtning.

Inom denna tidsfrist bör organisationer åtminstone kunna tillhandahålla den potentiella omfattningen och orsaken till överträdelsen och de åtgärder som den planerar att vidta för att svara på och mildra problemet.

Läs mer om GDPR

För mer information om hur du kan förbereda förordningen bör du registrera dig till en av våra GDPR-kurser.Beroende på din kompetensnivå kan du vara intresserad av antingen:

Certified EU General Data Protection Regulation Foundation (GDPR) Training Course

Certified EU General Data Protection Regulation Practitioner (GDPR) Training Course

Kurserna finns i både klassrum och som distansutbildning.

Boka dessa kurser tillsammans i vår kombinationskurs och spara 15 %.

Leave a Reply

Your email address will not be published. Required fields are marked *

This site uses Akismet to reduce spam. Learn how your comment data is processed.