Trung tâm GDPR SME mới của ICO. Nghị quyết năm mới của bạn có nên tuân thủ GDPR không?

Trung tâm GDPR SME mới của ICO. Nghị quyết năm mới của bạn có nên tuân thủ GDPR không?

Vào cuối năm ngoái, Văn phòng Ủy viên Thông tin đã công bố một số hướng dẫn bổ sung về quyền riêng tư dữ liệu nhằm vào thị trường SME (Doanh nghiệp nhỏ / vừa). Điều này bổ sung vào thư viện ngày càng tăng của họ các ấn phẩm hướng dẫn và các công cụ và sản phẩm tự đánh giá nhằm thông báo cho các tổ chức về nghĩa vụ của họ theo Quy định chung về bảo vệ dữ liệu (GDPR) và cách tuân thủ các quy tắc về xử lý và bảo vệ dữ liệu cá nhân của cá nhân. Các công cụ của ICO bao gồm danh sách kiểm tra từng bước được gọi là “ Bạn tuân thủ luật bảo vệ dữ liệu tốt như thế nào: đánh giá dành cho chủ doanh nghiệp nhỏ và thương nhân duy nhất'' đưa người dùng qua một loạt câu hỏi để nhắc nhở các doanh nghiệp vừa và nhỏ xem xét hiểu biết của họ về các nghĩa vụ bảo vệ dữ liệu và cách GDPR có thể áp dụng cho doanh nghiệp của họ và tổ chức nên làm gì để bảo vệ dữ liệu mà tổ chức đó có thể đang xử lý.

Nhắc tôi về GDPR là gì?

Tóm lại, GDPR cấp quyền cho các cá nhân và dữ liệu cá nhân của họ. Điều này có nghĩa là các tổ chức sẽ có gánh nặng pháp lý gia tăng và các nghĩa vụ và trách nhiệm bổ sung để đảm bảo rằng dữ liệu cá nhân mà họ nắm giữ được bảo vệ. Điều này bao gồm việc cung cấp thông tin rõ ràng hơn cho các cá nhân về cách thức và lý do họ nắm giữ dữ liệu đó, thông báo cho các cá nhân về quyền của chính họ đối với dữ liệu của họ và đảm bảo rằng tổ chức có đủ bảo mật để bảo vệ dữ liệu đó. Các tổ chức cũng phải có và duy trì một quy trình về cách xác định, đánh giá và đối phó với bất kỳ vi phạm nào đối với tính bảo mật của dữ liệu cá nhân đó.

Đăng ký

Trung tâm của ICO cũng nhắc nhở các công ty rằng mọi tổ chức xử lý dữ liệu cá nhân (trừ khi được miễn) đều phải trả phí cho ICO. Không thanh toán là một hành vi vi phạm dân sự (và ICO đưa ra các khoản phạt nếu không thanh toán). Để biết thêm thông tin về phí ICO, hãy xem https://ico.org.uk/for-organisations/data-protection-fee/

Mối quan tâm của SME

Một số doanh nghiệp vừa và nhỏ lo ngại về gánh nặng hành chính được coi là không cân xứng đối với họ. Tuy nhiên, cả ICO và Ủy ban Châu Âu đều đã rõ ràng rằng việc áp dụng quy định bảo vệ dữ liệu không phụ thuộc vào quy mô của tổ chức mà phụ thuộc vào bản chất của các hoạt động. Các hoạt động có rủi ro cao đối với quyền và tự do của cá nhân, cho dù chúng được thực hiện bởi một doanh nghiệp vừa và nhỏ hay bởi một tập đoàn lớn, sẽ kích hoạt việc áp dụng các quy tắc nghiêm ngặt hơn. Tuy nhiên, một số nghĩa vụ của GDPR có thể không áp dụng cho tất cả các doanh nghiệp vừa và nhỏ, chẳng hạn như một số nghĩa vụ báo cáo hoặc hầu hết các tổ chức nhỏ sẽ không cần chỉ định ai đó vào vai trò chính thức của Nhân viên bảo vệ dữ liệu.

Chúng ta phải làm gì đây?

Một trong những mục tiêu chính của ICO là làm cho các tổ chức nhận thức được nghĩa vụ của họ. Các vấn đề chính cần xem xét là:

Bạn nắm giữ dữ liệu cá nhân nào và bạn làm gì với dữ liệu đó?

Tại sao bạn giữ nó - bạn có thể biện minh cho nó theo một trong những cơ sở pháp lý được quy định trong GDPR không?

Bạn nói gì với cá nhân bị ảnh hưởng về dữ liệu bạn giữ trên họ?

Làm thế nào để bạn giữ cho dữ liệu an toàn?

Hình phạt cho việc không tuân thủ

Có thể có các khoản tiền phạt và hình phạt đáng kể đối với các tổ chức vi phạm GDPR (tùy thuộc vào bản chất của sự việc). Đối với các vi phạm hành chính nhiều hơn, tiền phạt có thể lên đến gần 8 triệu bảng Anh hoặc 2% doanh thu toàn cầu của một công ty (tùy theo mức nào cao hơn), với tiền phạt cho các sự cố nghiêm trọng hơn lên đến 17 triệu bảng Anh hoặc 4% doanh thu hàng năm toàn cầu.

Vì vậy, có lẽ câu hỏi mà các doanh nghiệp vừa và nhỏ nên tự hỏi là bạn có đủ khả năng không tuân thủ không?

Lời khuyên của chúng tôi là những người vẫn chưa suy nghĩ nhiều về GDPR và nó ảnh hưởng như thế nào đến hoạt động kinh doanh của họ là hãy biến nó thành một giải pháp (muộn màng) cho những năm mới và thực hiện bước đầu tiên và làm theo danh sách kiểm tra của ICO.