Gagnamiðlun er lífæð nútímaviðskipta. Hvort sem þú ert að ráða nýjan skýjafyrirtæki, vinna með markaðsstofu eða samþætta mannauðskerfi þriðja aðila, þá flæða persónuupplýsingar stöðugt milli fyrirtækja. En hér er óþægilegur sannleikur: flest fyrirtæki vanmeta lagalega námusvæðið sem gagnadeiling felur í sér samkvæmt almennu persónuverndarreglugerðinni (GDPR).
Það er í húfi. Sektir geta numið 20 milljónum evra eða 4% af alþjóðlegri ársveltu — hvort sem er hærra. Auk fjárhagslegra viðurlaga er hætta á að einstaklingar sem verða fyrir barðinu á þessu verði fyrir skaða á orðspori, verði eftirlitsskyldir og verði krafist skaðabótaskyldu. Persónuverndarstofnun Hollands (Autoriteit Persoonsgegevens, eða AP) hefur gert það ljóst: fáfræði er ekki vörn.
Þessi grein leiðir þig í gegnum sjö mikilvægar áhættur í GDPR sem koma upp við miðlun persónuupplýsinga. Hver áhætta byggir á sérstökum ákvæðum GDPR, útskýrir raunverulegar afleiðingar og parar við hagnýtar leiðbeiningar til að hjálpa þér að uppfylla kröfur. Hvort sem þú ert fyrirtækjaeigandi, regluvörður eða lögfræðingur sem starfar í Hollandi, þá er mikilvægt að skilja þessar gryfjur.
1. Miðlun gagna án gilds lagalegs grundvallar (6. grein GDPR)
Áhættan: Þú getur ekki deilt persónuupplýsingum bara vegna þess að það er þægilegt eða gagnlegt. Sérhvert tilvik gagnadeilingar krefst gilds lagalegs grundvallar samkvæmt 6. grein GDPR.
Af hverju fyrirtæki gera mistök: Margar stofnanir gera ráð fyrir að það sé nóg að hafa viðskiptaástæður til að deila gögnum. Það er ekki raunin. Persónuverndarreglugerðin setur fram sex lögmætar heimildir fyrir vinnslu: samþykki, samningsbundna nauðsyn, lagaskyldu, brýna hagsmuni, opinbert verkefni og lögmæta hagsmuni. Hver þeirra hefur sínar sérstöku kröfur og takmarkanir.
Til dæmis er oft vísað til „lögmætra hagsmuna“ til að réttlæta gagnadeilingu með samstarfsaðilum eða þjónustuaðilum. En þessi grundvöllur krefst vandlegrar vegvísunar: hagsmunir þínir mega ekki vega þyngra en réttindi og frelsi einstaklinganna sem þú vinnur úr gögnum um. Og þú verður að skjalfesta þetta mat.
Lögleg grundvöllur: 6. grein GDPR setur fram tæmandi lista yfir lögmætar heimildir. 5. grein (1)(a) GDPR kveður á um að öll vinnsla sé lögmæt, sanngjörn og gagnsæ.
Raunverulegar afleiðingar: Persónuverndarstofnunin hefur sektað stofnanir sem deildu viðskiptavinagögnum með þriðja aðila í markaðssetningartilgangi án gilds lagalegs grundvallar. Jafnvel þótt gögnin hafi verið nafnlaus eða samanlögð, ef endurgreining er möguleg, þá eru þau samt sem áður persónuupplýsingar og þurfa lagalegan grundvöll.
Hagnýtt takeaway: Áður en persónuupplýsingar eru deilt skal bera kennsl á og skjalfesta hvaða lagalegur grundvöllur á við. Ef byggt er á lögmætum hagsmunum skal framkvæma og skrá mat á lögmætum hagsmunum. Ef samþykki er notað skal tryggja að það sé gefið af fúsum og frjálsum vilja, sértækt, upplýst og ótvírætt.
2. Ruglingur um hlutverk: Ábyrgðaraðili vs. vinnsluaðili (4. gr. (7)–(8) GDPR)
Áhættan: Persónuverndarreglugerðin gerir greinarmun á ábyrgðaraðilum (sem ákvarða tilgang og aðferðir vinnslu) og vinnsluaðilum (sem vinna úr gögnum fyrir hönd ábyrgðaraðila). Að skilgreina hlutverk þitt – eða hlutverk samstarfsaðila þíns – skapar alvarlegt brot á reglufylgni.
Af hverju fyrirtæki gera mistök: Í reynd geta hlutverk verið óljós. Ef þú deilir gögnum með SaaS-þjónustuaðila, er hann þá ábyrgðaraðili eða vinnsluaðili? Hvað ef hann notar gögnin þín til að bæta reiknirit sín? Mörg fyrirtæki kalla sjálfgefið alla birgja „vinnsluaðila“ án þess að greina tengslin almennilega.
Rangflokkun skiptir máli því ábyrgðaraðilar og vinnsluaðilar hafa mismunandi skyldur. Ábyrgðaraðilar verða að tryggja að vinnsluaðilar veiti fullnægjandi ábyrgðir á samræmi (28. gr. GDPR). Sameiginlegir ábyrgðaraðilar verða að koma sér saman um ábyrgð sína (26. gr. GDPR). Ef þú gerir mistök gætirðu verið ábyrgur fyrir brotum sem þú vissir ekki einu sinni að væru að eiga sér stað.
Lögleg grundvöllur: Í 4. gr. (7) og (8) í GDPR er skilgreint hvað felst í „ábyrgðaraðila“ og „vinnsluaðila“. Í 24. gr. GDPR er fjallað um ábyrgðarskyldu ábyrgðaraðila.
Raunverulegar afleiðingar: Evrópudómstóllinn dæmdi í Tískuauðkenni (C-40/17) að jafnvel að hluta til að ákvarða tilgang getur gert þig að sameiginlegum ábyrgðaraðila. Þetta þýðir að þú getur borið sameiginlega ábyrgð á brotum á GDPR, jafnvel þótt annar aðili hafi valdið þeim.
Hagnýtt takeaway: Kortleggja gagnaflæði og ákvarða hver tekur ákvörðun hvers vegna og hvernig gögn eru unnin. Skráðu þetta skriflega og tryggðu að allir aðilar skilji hlutverk sitt og skyldur.
3. Vantar eða er ófullnægjandi gagnavinnslusamningur (28. gr. GDPR)
Áhættan: Ef þú ræður vinnsluaðila til að meðhöndla persónuupplýsingar fyrir þína hönd er þér skylt að hafa skriflegan vinnslusamning (DPA) í gildi. Engar undantekningar.
Af hverju fyrirtæki gera mistök: Það er freistandi að sleppa pappírsvinnunni, sérstaklega með traustum eða langtíma samstarfsaðilum. En án persónuverndarsamnings sem uppfyllir kröfur eruð þið að brjóta gegn 28. grein GDPR frá fyrsta degi — jafnvel þótt enginn raunverulegur skaði verði.
Persónuverndarsamningur verður að innihalda sérstakar, skyldubundnar ákvæði: efni og tímalengd vinnslunnar, eðli og tilgang vinnslunnar, tegund persónuupplýsinga, flokka skráðra aðila og skyldur og réttindi ábyrgðaraðila. Hann verður einnig að fjalla um undirvinnslu, gagnaöryggi og tilkynningar um brot.
Lögleg grundvöllur: Í 28. gr. (3) GDPR er tilgreint hvað skyldubundið efni persónuverndarsamnings er. Í 28. gr. (4) GDPR er krafist skýrrar heimildar fyrir undirvinnsluaðila.
Raunverulegar afleiðingar: Persónuverndarstofnunin hefur refsað fyrirtækjum fyrir að ráða vinnsluaðila án fullnægjandi persónuverndarsamninga. Jafnvel þótt vinnsluaðilinn sjálfur uppfylli kröfur getur ábyrgðaraðilinn samt sem áður verið sektaður fyrir að gera ekki viðeigandi samning.
Hagnýtt takeaway: Notið staðlað sniðmát fyrir persónuverndarsamning sem nær yfir allar kröfur 28(3) greinarinnar. Farið yfir gildandi samninga til að tryggja að þeir séu í samræmi við GDPR. Ekki ráða nýjan vinnsluaðila án undirritaðs persónuverndarsamnings.
4. Ólöglegur flutningur til þriðju landa utan EES (44.–49. gr. GDPR & Schrems II)
Áhættan: Flutningur persónuupplýsinga út fyrir Evrópska efnahagssvæðið (EES) er mjög takmarkaður. Þú getur aðeins gert það ef móttökulandið veitir fullnægjandi vernd - eða ef þú innleiðir viðeigandi öryggisráðstafanir.
Af hverju fyrirtæki gera mistök: Mörg fyrirtæki nota skýjaþjónustu, greiðsluvinnsluaðila eða greiningartól sem eru hýst í Bandaríkjunum eða Asíu án þess að gera sér grein fyrir því að þau virkja alþjóðlegar reglur um millifærslur. Jafnvel þótt samningur þinn sé við aðila innan ESB, gilda reglur um millifærslur ef gögn eru geymd eða aðgengileg utan EES.
The Schrems II Í dómi (máli C-311/18) var friðhelgissamningnum milli ESB og Bandaríkjanna ógildur og staðfest að staðlaðar samningsákvæði einar og sér dugi ekki. Einnig verður að framkvæma áhrifamat á flutning gagna til að meta hvort lög áfangastaðarins grafi undan þeirri vernd sem tryggð er með staðlaðar samningsákvæðum.
Lögleg grundvöllur: 44.–49. grein GDPR gilda um alþjóðlegar millifærslur. V. kafli GDPR krefst ákvarðana um fullnægjandi gögn (45. grein) eða viðeigandi verndarráðstafana (46. grein), svo sem takmarkaðs starfsleyfis.
Raunverulegar afleiðingar: Lögreglan getur fyrirskipað þér að fresta eða banna gagnaflutninga til þriðju landa ef fullnægjandi öryggisráðstafanir eru ekki til staðar. Fyrirtæki hafa staðið frammi fyrir aðgerðum og skaðað orðspor sitt fyrir að flytja gögn til Bandaríkjanna án þess að framkvæma TIA eftir á.Schrems II.
Hagnýtt takeaway: Greinið allar millifærslur frá þriðju löndum í gagnaflæði ykkar. Athugið hvort ákvörðun um fullnægjandi gögn sé til staðar. Ef ekki, innleiðið takmarkanir á gagnasamningum (SCCs) og framkvæmið heildarúttekt (TIA). Skjalfestið viðbótarráðstafanir ef þörf krefur (t.d. dulkóðun, dulnefni).
5. Ef ekki hefur verið framkvæmt mat á áhrifum á persónuvernd (35. gr. GDPR)
Áhættan: Mat á áhrifum á persónuvernd (DPIA) er skylda þegar líklegt er að gagnadeiling muni leiða til mikillar áhættu fyrir réttindi og frelsi einstaklinga. Þetta felur í sér umfangsmikla vinnslu sérstakra flokka gagna, kerfisbundna vöktun eða notkun nýrrar tækni.
Af hverju fyrirtæki gera mistök: Margar stofnanir líta á DPIA sem valkvæða eða aðeins viðeigandi fyrir „stór“ verkefni. Í raun getur það kallað fram DPIA kröfuna um að deila heilbrigðisgögnum með þriðja aðila greiningarvettvangi, nota gervigreindarknúnar greiningartól eða sameina gagnasöfn úr mörgum áttum.
Mat á persónuvernd (DPIA) er ekki bara æfing þar sem hakað er við reiti. Það er skipulagt ferli til að bera kennsl á áhættu, meta alvarleika hennar og ákvarða aðgerðir til að draga úr henni. Ef eftirstandandi áhætta er enn mikil verður þú að ráðfæra þig við AP áður en þú heldur áfram.
Lögleg grundvöllur: 35. grein GDPR kveður á um kröfu um mat á persónuvernd (DPIA) fyrir vinnslu sem felur í sér mikla áhættu. Persónuverndarstofnunin hefur gefið út leiðbeiningar um hvenær mat á persónuvernd er krafist.
Raunverulegar afleiðingar: Ef ekki er framkvæmd DPIA (verndaryfirlit) þegar þess er krafist er það í sjálfu sér brot á GDPR. Persónuverndarstofnunin hefur sektað stofnanir fyrir að halda áfram með áhættusama gagnamiðlun án þess að ljúka DPIA, jafnvel þótt ekkert raunverulegt gagnabrot hafi átt sér stað.
Hagnýtt takeaway: Skoðið alla gagnadeilingu fyrir DPIA-köllum. Ef þið eruð í vafa, framkvæmið slíka aðgerð. Fáið persónuverndarfulltrúa ykkar til að taka þátt og skráið matsferlið vandlega.
6. Ófullnægjandi upplýsingar til skráðra einstaklinga (13. og 14. grein GDPR)
Áhættan: Gagnsæi er hornsteinn GDPR. Þegar þú safnar eða deilir persónuupplýsingum verður þú að upplýsa skráða einstaklinga um hverjir fá gögnin þeirra, í hvaða tilgangi og á hvaða lagalegum grundvelli.
Af hverju fyrirtæki gera mistök: Persónuverndaryfirlýsingar eru oft óljósar eða úreltar. Setningar eins og „við gætum deilt gögnum þínum með traustum samstarfsaðilum“ duga ekki. Þú verður að tilgreina flokka viðtakenda (t.d. „skýhýsingaraðila“, „markaðsstofur“) og, þar sem við á, nefna þá.
Þegar gögnum er aflað óbeint — til dæmis frá gagnamiðlara eða öðrum ábyrgðaraðila — setur 14. gr. GDPR viðbótar upplýsingaskyldu, þar á meðal uppruna gagnanna.
Lögleg grundvöllur: Í 13. og 14. grein GDPR eru taldar upp upplýsingar sem veita skal skráðum einstaklingum. Í 5. gr. (1)(a) GDPR er kveðið á um gagnsæi í allri vinnslu.
Raunverulegar afleiðingar: AP hefur refsað fyrirtækjum fyrir að upplýsa ekki einstaklinga um að gögnum þeirra væri deilt með þriðja aðila. Jafnvel þótt miðlunin sjálf hafi verið lögleg, þá er ófullnægjandi gagnsæi sjálfstætt brot.
Hagnýtt takeaway: Farið yfir og uppfærið persónuverndaryfirlýsingar ykkar til að lýsa skýrt verklagi við gagnadeilingu. Gangið úr skugga um að tilkynningar séu aðgengilegar og skrifaðar á einföldu máli. Þegar þið deilið gögnum með nýjum samstarfsaðilum, uppfærið tilkynningarnar áður en deiling hefst.
7. Dulnafnvæðing sem falsk öryggistilfinning
Áhættan: Samkvæmt GDPR er hvatt til dulnefnisnotkunar — að skipta út beinum auðkennum fyrir kóða eða tákn — sem öryggisráðstöfun. En það gerir ekki gögn nafnlaus. Ef gögnin geta samt verið tengd einstaklingi, þá eru þau áfram persónuupplýsingar og falla undir allt gildissvið GDPR.
Af hverju fyrirtæki gera mistök: Fyrirtæki gera oft ráð fyrir að dulnefni séu „örugg“ til að deila án takmarkana. Í reynd dregur dulnefni aðeins úr áhættu; það útilokar hana ekki. Ef þú deilir dulnefnum gögnum með samstarfsaðila sem hefur aðgang að lyklinum eða öðrum gagnasöfnum sem gera kleift að endurgreina, þá ert þú samt að vinna úr persónuupplýsingum.
Lögleg grundvöllur: 4. gr. (5) GDPR skilgreinir dulnefni. 26. formáli GDPR skýrir að dulnefni eru enn persónuupplýsingar nema þau séu raunverulega nafnlaus (þ.e. endurgreining sé ekki lengur möguleg með neinum eðlilegum hætti).
Raunverulegar afleiðingar: Í leiðbeiningum hefur bandaríska eftirlitsstofnunin (AP) skýrt að dulnefni sé ekki leið til að „sleppa úr fangelsi án þess að vera“. Ef endurskilgreining er möguleg gilda allar skyldur GDPR, þar á meðal að hafa lagalegan grundvöll, framkvæma DPIA og tryggja fullnægjandi öryggi.
Hagnýtt takeaway: Meðhöndlið dulnefni sem persónuupplýsingar nema þið hafið gengist undir strangt nafnleyndarferli sem sérfræðingar hafa staðfest. Skráið tæknilegar og skipulagslegar ráðstafanir sem eru til staðar til að koma í veg fyrir endurgreiningu.
Algengar spurningar
Hvenær er heimilt að deila gögnum samkvæmt GDPR?
Gagnamiðlun er aðeins lögmæt ef þú hefur gildan lagalegan grundvöll samkvæmt 6. grein GDPR. Sex lagalegu grundvellirnir eru: samþykki, samningsbundin nauðsyn, lagaleg skylda, brýnir hagsmunir, opinbert verkefni og lögmætir hagsmunir. Þú verður einnig að fylgja meginreglum um lögmæti, sanngirni, gagnsæi, tilgangstakmörkun, gagnalágmörkun, nákvæmni, geymslutakmörkun, heiðarleika og trúnað (5. grein GDPR). Í reynd þýðir þetta að skrá skýrt hvers vegna þú ert að deila gögnum, tryggja að tilgangurinn sé í samræmi við ástæðuna fyrir því að þú söfnaðir þeim upphaflega og upplýsa skráða aðila um miðlunina.
Hver er munurinn á stjórnanda og örgjörva?
A stjórnandi ákvarðar tilgang og aðferðir við vinnslu persónuupplýsinga. örgjörva vinnur úr gögnum fyrir hönd ábyrgðaraðila samkvæmt sérstökum fyrirmælum. Þessi greinarmunur skiptir máli vegna þess að ábyrgðaraðilar bera fyrst og fremst ábyrgð á að uppfylla GDPR, en vinnsluaðilar hafa takmarkaðri skyldur (aðallega að tryggja öryggi og trúnað). Ef þú deilir gögnum með birgi sem vinnur úr þeim samkvæmt þínum fyrirmælum - til dæmis launavinnsluaðila eða skýgeymsluþjónustu - eru þeir yfirleitt vinnsluaðilar. Ef þeir ákveða einnig hvernig þeir nota gögnin í eigin þágu gætu þeir verið (sameiginlegur) ábyrgðaraðili. Rangfærð hlutverk geta leitt til bila í ábyrgð og sameiginlegrar ábyrgðar vegna brota.
Hvenær er gagnavinnslusamningur skyldubundinn?
Persónuverndarsamningur er skylda í hvert skipti sem þú ræður vinnsluaðila til að meðhöndla persónuupplýsingar fyrir þína hönd (28. gr. GDPR). Þetta á við óháð stærð fyrirtækisins eða umfangi gagna sem um ræðir. Persónuverndarsamningurinn verður að vera skriflegur og innihalda sérstakar skylduákvæði, svo sem efni og lengd vinnslunnar, eðli og tilgang, tegundir gagna og flokka skráðra einstaklinga og skyldur beggja aðila varðandi öryggi, tilkynningar um brot og undirvinnslu. Án persónuverndarsamnings sem uppfyllir kröfur þínar ert þú brotlegur frá þeirri stundu sem vinnsluaðilinn hefst vinnslu, jafnvel þótt enginn skaði verði.
Get ég deilt viðskiptavinagögnum með aðila utan ESB?
Já, en aðeins ef ströng skilyrði eru uppfyllt. Samkvæmt 44.–49. grein GDPR er heimilt að flytja gögn til þriðja lands ef: (a) framkvæmdastjórn Evrópusambandsins hefur gefið út ákvörðun um fullnægjandi vernd fyrir viðkomandi land, eða (b) þú hefur komið á viðeigandi verndarráðstöfunum, svo sem stöðluðum samningsákvæðum. Í kjölfarið Schrems II Í samræmi við dóminn verður þú einnig að framkvæma mat á áhrifum flutnings gagna (TIA) til að meta hvort lög áfangastaðarlandsins (t.d. eftirlit stjórnvalda) grafi undan þeirri vernd sem tryggð er með SCC-reglunum. Ef áhætta er enn til staðar verður þú að grípa til viðbótarráðstafana, svo sem dulkóðunar eða lágmörkunar gagna. Flutningar án fullnægjandi öryggisráðstafana geta leitt til aðgerða af hálfu AP, þar á meðal stöðvunar flutningsins.
Hvenær er nauðsynlegt að framkvæma DPIA vegna gagnadeilingar?
Samkvæmt 35. grein GDPR er gerð mat á persónuvernd (DPIA) skylda þegar vinnsla er líkleg til að leiða til mikillar áhættu fyrir réttindi og frelsi einstaklinga. Þetta felur í sér: stórfellda vinnslu sérstakra flokka gagna (t.d. heilsufars-, líffræðilegra og erfðafræðilegra gagna), kerfisbundna vöktun á opinberum aðgengilegum svæðum, sjálfvirka ákvarðanatöku með lagalegum eða svipuðum verulegum áhrifum og notkun nýrrar tækni. Þegar gögnum er deilt er oft krafist mats á persónuvernd ef verið er að sameina gagnasöfn, deila viðkvæmum upplýsingum eða nota gögnin til að búa til persónusnið eða greiningar sem byggjast á gervigreind. Persónuverndarstofnun Bandaríkjanna (AP) hefur gefið út lista yfir vinnsluaðgerðir sem krefjast mats á persónuvernd. Ef þú ert í vafa skaltu framkvæma slíka matsgerð - betra er að vera varkár en að hryggja sig.
Hvaða sektum geta fyrirtæki átt yfir höfði sér fyrir brot á GDPR?
Persónuverndarreglugerðin kveður á um tvö sektarstig. Lægra þrepið – allt að 10 milljónum evra eða 2% af heildarársveltu – á við um brot eins og að vanrækja að innleiða viðeigandi öryggisráðstafanir eða ekki framkvæma DPIA þegar þörf krefur. Hærra þrepið – allt að 20 milljónum evra eða 4% af heildarársveltu – á við um alvarlegri brot, þar á meðal skort á lagalegum grundvelli fyrir vinnslu, ólöglega alþjóðlega millifærslu eða brot á réttindum skráðra aðila. Persónuverndarnefndin ákvarðar sektarupphæðina út frá þáttum eins og eðli og alvarleika brotsins, hvort það var af ásettu ráði eða gáleysi, fjölda einstaklinga sem urðu fyrir áhrifum og hugsanlegum mótvægisaðgerðum sem gripið var til. Nýleg framfylgd sýnir að Persónuverndarnefndin er tilbúin að leggja á verulegar sektir, sérstaklega fyrir kerfisbundin eða af ásettu ráði brot.
Er alltaf öruggt að deila dulnefnisgögnum?
Nei. Dulnöfnun dregur úr áhættu en útilokar hana ekki. Samkvæmt 4. gr. (5) GDPR þýðir dulnefni að skipta út beinum auðkennum (eins og nöfnum) fyrir kóða eða dulnefni. Hins vegar, ef hægt er að tengja gögnin enn við einstakling - til dæmis með því að nota viðbótarupplýsingar sem þú eða viðtakandinn geymir - þá eru þau enn persónuupplýsingar og falla að fullu undir GDPR. Þetta þýðir að þú þarft enn lagalegan grundvöll, verður að upplýsa skráða aðila og verður að tryggja fullnægjandi öryggi. Aðeins raunveruleg nafnleynd - þar sem endurauðkenning er ekki lengur möguleg með neinum eðlilegum hætti - fjarlægir gögn frá gildissviði GDPR. Í reynd er erfitt að ná fram raunverulegri nafnleynd og krefst staðfestingar sérfræðinga.
Hvað ætti ég að gera ef fyrirtæki mitt verður fyrir gagnaleka vegna ólöglegrar gagnadeilingar?
Ef þú uppgötvar öryggisbrot á persónuupplýsingum — þar á meðal öryggisbrot sem orsakast af ólögmætri miðlun gagna — þá hefur þú 72 klukkustundir að tilkynna eftirlitsaðilanum samkvæmt 33. grein GDPR (nema ólíklegt sé að brotið leiði til áhættu fyrir réttindi og frelsi einstaklinga). Þú verður einnig að tilkynna viðkomandi einstaklingum án ótilhlýðilegrar tafar ef líklegt er að brotið leiði til mikillar áhættu fyrir þá (34. grein GDPR). Tafarlaus skref eru meðal annars: að hefta brotið, meta umfang þess og áhrif, skrá hvað gerðist og hvað þú ert að gera í því og tilkynna eftirlitsaðilanum í gegnum netgátt þeirra. Vanræksla á að tilkynna getur leitt til sérstakrar sektar. eftirlitsaðilinn mun meta hvort réttlæta eigi aðgerðir út frá alvarleika brotsins og viðbrögðum þínum.
Verndaðu fyrirtækið þitt - Fáðu lögfræðiráðgjöf frá sérfræðingum
Gagnamiðlun er óhjákvæmileg, en brot á GDPR þurfa ekki að vera það. Áhætturnar sjö sem lýst er hér að ofan eru ekki fræðilegar - þær eru dregnar af raunverulegum málum sem varða löggæslu, dómsúrskurðum og leiðbeiningum reglugerða. Sérhver og ein þeirra getur leitt til sekta, skaðabóta og orðsporsskaða.
Góðu fréttirnar? Með réttu lagalegu umgjörðinni, skýrum skjölum og fyrirbyggjandi aðgerðum til að uppfylla kröfur er hægt að deila gögnum af öryggi og lögmætum hætti. En til að gera þetta rétt þarf meira en almenna ráðgjöf – það þarf sérsniðna lögfræðiaðstoð sem skilur fyrirtækið þitt, gagnaflæði þitt og þá sérstöku áhættu sem þú stendur frammi fyrir.
Ekki bíða eftir að persónuverndarlögreglan banki á dyrnar. Ef þú ert óviss um hvort gagnadeilingarvenjur þínar séu í samræmi við GDPR, eða ef þú þarft aðstoð við að semja persónuverndarsamþykktir, framkvæma DPIA eða stjórna alþjóðlegum millifærslum, hafðu þá samband við sérhæfðan lögfræðing í persónuvernd. Fyrirtækið þitt – og viðskiptavinir þínir – eiga ekkert minna skilið.
