Ogólne rozporządzenie o ochronie danych (GDPR) weszło w życie w maju 2018 r., a przedsiębiorstwa w całej Wielkiej Brytanii zostały zmuszone do zmiany swoich systemów i praktyk roboczych w celu zapewnienia zgodności. Jednak nadal jest tak, że duża liczba organizacji popełnia błędy w swoich wysiłkach na rzecz zgodności z przepisami. Poniżej przyglądamy się niektórym z największych błędów zgodności z GDPR, które obecnie popełniają brytyjskie firmy, i zapewniamy wgląd w to, jak możesz ich uniknąć.
Błąd: Zakładanie, że nie ma potrzeby martwić się o GDPR z Brexitem na horyzoncie
Niektóre firmy wciąż zakładają, że Brexit będzie oznaczał gruntowny przegląd zasad i przepisów w całym kraju, a zatem nie ma potrzeby martwić się o GDPR, ponieważ jest to regulacja europejska. Jest to jednak błędne rozumienie sytuacji w jej obecnym kształcie. Podczas gdy GDPR jest rozporządzeniem unijnym, które ma zastosowanie do przedsiębiorstw z UE, przepisy zostały przetransponowane do prawa brytyjskiego jako Data Protection Act 2018.
Funkcjonalnie oznacza to, że niezależnie od wyniku Brexitu, są to zasady, których teraz muszą przestrzegać brytyjskie przedsiębiorstwa. Dlatego też, jeśli Twoja firma obecnie nie przestrzega GDPR, naruszasz nie tylko przepisy unijne, ale także brytyjskie.
Błąd: nie masz przedstawiciela art. 27 w Europie
Jedną z najbardziej pomijanych kwestii dotyczących zgodności z GDPR jest potrzeba posiadania przedstawiciela w UE. Przedsiębiorstwa są zobowiązane do wyznaczenia przedstawiciela do spraw prywatności, z którym mogą kontaktować się klienci, klienci i organy regulacyjne na terenie UE. Określone w artykule 27 GDPR, jeśli firma ma klientów lub klientów w UE, posiadanie przedstawiciela jest obowiązkowe.
"Wiele firm po prostu nie zdaje sobie sprawy, że posiadanie przedstawiciela UE nie jest opcjonalne - jest to wymóg prawny. Jeśli brytyjska firma ma klientów, partnerów lub klientów w UE, wyznaczenie przedstawiciela jest ważnym krokiem w przestrzeganiu prawa, unikaniu grzywien i byciu zgodnym z GDPR". Flor McCarthy, MD, Article 27 Representatives EU Business Partners.
Błąd: Uczynienie ze zgodności z GDPR kwestii wyłącznie dla zespołu IT
Często zdarza się, że firmy dowiadują się, że GDPR składa się z zasad i przepisów dotyczących zarządzania danymi, i postrzegają to po prostu jako kwestię, którą może zająć się ich zespół IT. Oczywiście, zespół IT ma do odegrania kluczową rolę, ale nie jest jedyną stroną, która musi brać w tym czynny udział.
Takie podejście nie tylko nakłada ogromną presję na zespół IT, ale również nie uwzględnia faktu, że GDPR będzie miało wpływ na wiele różnych aspektów w Twojej firmie. Aby odpowiednio przygotować się do zapewnienia zgodności z GDPR, należy skoordynować audyt w całej organizacji.
Firmy mogą postrzegać GDPR raczej jako szansę niż problem. Jest to szansa na ponowne przemyślenie systemów i ponowne przeszkolenie pracowników w zakresie prawidłowych procesów zarządzania danymi. Każdy w firmie musi zrozumieć swoje obowiązki wynikające z GDPR - oznacza to zaangażowanie całej firmy w pracę.
Błąd: Myślenie, że obecne procesy zarządzania danymi pozostają ważne
Firmom może być łatwo założyć, że ponieważ w przeszłości zarządzanie danymi odbywało się prawidłowo i nigdy nie miały one problemów z naruszeniami lub utratą danych, nie muszą wprowadzać żadnych poważnych ulepszeń. Jest to jednak bardzo niebezpieczne założenie, ponieważ GDPR wprowadziło ogromne zmiany legislacyjne. Jest mało prawdopodobne, aby poprzedni system był w pełni zgodny z GDPR.
Wprowadzono wiele nowych elementów, takich jak prawo do bycia zapomnianym - które daje każdej osobie, której dane zarejestrowałeś, prawo do poproszenia o usunięcie jej danych, do czego musisz się zastosować. Wymaga się również, aby osoby, których dane zostały skradzione podczas naruszenia, miały prawo do uzyskania informacji w ciągu 72 godzin.
Czy Twój obecny system jest w stanie poradzić sobie z tymi kwestiami? Jest też wiele innych, a brak zgodności z którymkolwiek z nich może spowodować naruszenie GDPR. Jeśli masz jakiekolwiek obawy dotyczące zgodności Twojej firmy z GDPR, warto skonsultować się z ekspertami.