EU Persondataforording: Set nøjere efter

Persondataforordningen træder i kraft den 25. maj 2018 og overlader alle fra små virksomheder til store virksomheder tilbage med lidt over et år tilbage for at sikre, at de kan overholde kravene. Der har været mange debatter om virkningerne, bøderne og forvirringen.Er det noget, som alle virksomheder skal frygte?

Det ser ud til, at den nye EU-databeskyttelsesforordning (GDPR/Persondataforordningen) har skabt en smule frygt og forvirring med hensyn til, hvordan det vil påvirke ens virksomhed – uanset størrelse. Der er bøder, øget kontrol og strammere regler – det lyder risikabelt.GDPR vil påvirke enhver organisation – også selvstændige, nystartede virksomheder og mindre virksomheder, der behandler indbyggernes personligt identificerbare oplysninger.

Her er et resumé af, hvordan GDPR opstod; Europa-Kommissionen fremsatte et forslag i januar 2012, hvor der kræves en ændring i databeskyttelsesdirektivet (som vi stadig er under i øjeblikket) på grund af variationen i forbindelse med national lovgivning. Europa-Parlamentet er enig i forslaget, forhandler i 2015, og i maj 2016 offentliggøres GDPR, der giver alle organisationer en toårig gennemførelsesperiode. Her er vi ni måneder senere med 15 måneder at gå.
GDPR’s mål er blandt andet at øge datastrømmen og retssikkerheden, forene databeskyttelse og øge forbrugernes tillid i alle 28 EU-lande.
Frygten kommer, når du hører, hvad GDPR ikke-compliancy kan koste dit firma: op til 4% af en organisationsomsætning eller 20 millioner euro. Dette kan betyde insolvens for mange – men det kan også mange andre scenarier af manglende overholdelse. Det giver mening at have alvorlige konsekvenser, hvis du har chancen for din evne til at flyve over loven.

I verden er databrud bliver almindelige i en datafokuseret verden, og størstedelen af ​​organisationerne – hvis ikke alle – i enhver virksomhed er sårbare. For eksempel er kundeloyalitet en fundamental faktor i mange industrier. Ikke at kunne beskytte kundernes personlige data kan potentielt bryde kundens tillid og dermed bryde mærket.

Så hvad skal en organisation gøre? Kort sagt bør virksomheder være lydhøre over for de nye ansvar og være proaktivt forberedt.
Det er nemt at sige, og det er sværere at få gjort selvfølgelig, men der nævnes nogle af fordelene, og måder at udnytte GDPR på, kan være en måde at nærme sig projektet med en glass-halv-fuld mentalitet – her er nogle få grunde til, at GDPR kan være godt for din virksomhed:

  1. Du behøver ikke at holde dataene for evigt.
    Retention perioder lyder ‘ikke længere end nødvendigt’ – derfor er behovet for at gemme alle data permanent ikke længere et problem. Hvis du vil holde dine data længere end nødvendigt, er det muligt, hvis dataene har historiske, videnskabelige eller statistiske formål. Kortere tilbageholdelsesperioder end nødvendigt er også mulige med berygtede nye sætning ‘Retten til at blive glemt’.
  2. Færre konfliktforpligtelser for organisationerne
    R i GDPR står for regulering – og det trumfdirektiv. Forordningen slår direktivet, hvilket betyder, at en forordning finder anvendelse direkte på alle 28 EU-medlemmer. Det snart-til-tidligere-direktiv måtte fortolkes i hver lands lov, og det er ikke svært at forestille sig, hvor varieret disse fortolkninger kunne være. For ikke at nævne komplikationerne, når du handler med andre EU-medlemsstater. Som en ekstra bonus skal resten af ​​verden også overholde dette, hvis de med vilje driver virksomhed rettet mod indbyggere i EU.
  3. Realiseringen
    Det kan lyde som en masse arbejde – og det kommer til at være i starten – men GDPR vil være det vågne opkald, som din virksomhed har brug for til at samle alle data, gennemgå alle systemer og blive forberedt på en ny æra af personlig databehandling . Det er uundgåeligt som tidskifte. Husk 15 år siden, da de fleste data var i hard copy? Billed frustrationen tilbage, da alle dokumenter og data skulle scannes. Du var nødt til at mærke det, gemme det, kontrollere det, hente det, genskanne det og måske nogle få år senere konvertere filerne og forbedre kvaliteten osv. Og alt dette skulle gøres i henhold til reglerne, og med den mest effektive proces til rådighed for de tildelte penge i budgettet. Det er en del af virksomheden, og det er nødt til at blive færdig.
    Det er svært at måle afkastet af data- og dokumentoprydningsinvesteringer på virksomhedens bundlinje, men risikoen for ikke at have datastyrede og kompatible kan igen have en ødelæggende effekt, som vil være synlig i den årlige rapportens omkostningsfelt. GDPR kunne udgøre et middel til at få overordnet ledelse (hvis de normalt ikke ville være interesserede i at investere) for at se nødvendigheden af ​​at rengøre, systemisere, forberede og investere i overholdelse af GDPR. Hvis ikke, få deres afslag i skriftlig form.
  4. Du skal muligvis have en DPO (databeskyttelsesofficer)
    Hvis din kerneforretning drejer sig om personlige data, ville det være en god ide at investere i en DPO. Men hvis det ikke er din kerneforretning, har du måske ikke brug for en. Hospitaler og forsikringsselskaber har absolut brug for en. Forskning, hvor personoplysninger indsamles, vil også være til gavn for at huse en DPO. SMB IT konsulentfirma har ikke brug for en. Det hele afhænger af mængden af ​​data og hvor lang tid du holder på dataene.
    DPO-rolle vil blandt andet omfatte:
    – Informer dine medarbejdere, der arbejder med personoplysninger om deres ansvar i henhold til GPDR og andre EU eller nationale krav.
    – Hold øje med overholdelse af disse, ansvarsopgaver, uddannelse og inkludering af de medarbejdere, der er involveret i behandlingen af ​​dataene.
    – Samarbejde med myndighederne og være virksomhedens repræsentant om spørgsmål vedrørende personoplysninger.
    – Sørg for, at de såkaldte registrerede (den pågældende person bag personoplysningerne) er opmærksomme på deres rettigheder vedrørende samtykke, samtykkeudvinding og alle de rettigheder, der tilhører dem.
    – …og mere. Eller mindre. Igen afhænger det af din virksomheds profil.
    Linjerne er tydeligvis ikke alt det klare endnu, og på et tidspunkt kan det lære at gøre. Det vigtigste er i det væsentlige; du skal være i stand til at bevise din compliancy, som bringer os til …:
  5. Ryd op i dine data
    Kom ind i nu snarere end senere, da vi ved, at stort set alle typer data – store eller små – er eksponentielt stigende; Jo længere du venter, jo flere data bliver der og mindre tid. Og husk, at mange af kravene i GDPR er blødere for nogle brancher. Det er afgørende at tage hensyn til virksomhedens type forretning og mission, når de vurderer virkningen af GDPR.

Når man lukker op, er GDPR ikke så slemt, som det kan lyde til tider. Med en ny og meget konsekvensændring skal du få dine hænder beskidte (eller ansætte folk til at gøre det), vinde og dele viden og på ingen tid vil det være den nye måde forretning.