Det er de breve, der vedrører enhver, hvis arbejde, hvile eller leg involverer computere og information. Lad os se det i øjnene, det er de fleste af os i disse dage, især inden for regnskabsvæsen (og jeg taler ikke om MTD!) De er G.D.P.R. Og det er de generelle databeskyttelsesforskrifter, der kommer i spil den 25. maj 2018.
Dette område er alt andet end så tørt og kedeligt, som det lyder. Der er masser af kontroverser og forvirring. Så her er del et af Accounting Insight News' no-nonsense, hype-fri guide gennem GDPR-labyrinten:(Men først en advarsel... det er en guide, ikke et juridisk evangelium!)
Mængden af digital information er steget hurtigt og massivt i løbet af de sidste 20 år. Eksisterende regler for, hvordan virksomheder og offentlige organisationer håndterer, behandler og generelt passer på denne information, var ikke op til opgaven i vores nye, mere teknologi-gennemblødte landskab.
Så noget måtte give, ligesom den fyr, der plejede at gå foran det motoriserede køretøj og vifte med et rødt flag for at advare andre trafikanter. I en nøddeskal bliver databeskyttelsesdirektivet fra 1995 (mand med rødt flag) erstattet af GDPR, Europas nye ramme for databeskyttelse. Vi går ind i en tidsalder med databremser og trafiklys!
Åh, og før vi går ned af Brexit-vejen, introducerer Storbritannien databeskyttelsesloven, som grundlæggende tager GDPR om bord uanset EU-anliggender.
Reglerne vil blive håndhævet i Storbritannien af Information Commissioner's Office, som er baseret i Cheshire og ledes af Elizabeth Denham, som blev udnævnt for en femårig periode i 2016. Hendes opgave er at "øge den britiske offentligheds tillid til og tillid til hvad sker der med deres personlige data”.
Inkluderet i den juridiske GDPR-pakke er:
ICO siger, at hvis du i øjeblikket er underlagt databeskyttelseslovgivningen, vil du også være underlagt GDPR.
Hvordan du påvirkes af loven afhænger af, om du er databehandler eller dataansvarlig. En "controller" bestemmer, hvordan data bruges, som f.eks. til en marketingkampagne eller en salgstale. Udtrykket "processor" dækker alt andet. Det vil sige, at du indhenter, tilpasser og opbevarer data på fil eller i skyen, men du gør ikke det.
Dernæst er personlige og følsomme data. Personlig betyder enhver information, der kan bruges til at identificere en person, såsom navn eller IP-adresse. Sensitive betyder data, der afslører ting som seksuel orientering, politiske synspunkter, sygehistorie og lignende.
Som du ville forvente, er de fleste store datadrevne virksomheder up to speed med GDPR. De har sandsynligvis allerede overholdt kravet om at ansætte en databeskyttelsesansvarlig, for eksempel.
Men der er masser af mindre virksomheder derude – blandt andet revisorer – som kontrollerer og behandler en masse personlige og følsomme data. Og de skal være kloge. Simpelthen skal de sikre sig, at de ved, hvilke data de har ... om kunder, for eksempel. De skal sikre sig, at de har fået tilladelse til at bruge det på den måde, de er. Og de skal sørge for, at det er sikkert.
Databrud – ødelæggelse, tab, uautoriseret offentliggørelse – skal rapporteres til ICO inden for tre dage efter et hack. Bruddet skal sandsynligvis påvirke folks rettigheder eller friheder. Så betingelserne for indberetning involverer områder som økonomisk tab og fortrolighed
Grupper med over 250 medarbejdere skal redegøre for, hvorfor folks personlige og følsomme oplysninger bliver indsamlet og behandlet.
Og i visse situationer skal virksomheder indhente samtykke til at bruge en persons oplysninger. Denne proces skal forklares klart, og der skal være en "positiv opt-in" fra den person, der bliver bedt om at gøre noget.
GDPR giver folk mere magt til at få fat i information om sig selv. Og de skal ikke betale for privilegiet, som de gør nu. Virksomheden skal også give detaljerne inden for en måned. I de fleste tilfælde vil folk have ret til en forklaring på en beslutning, der er truffet om dem baseret på brugen af deres data. De vil også kunne kræve sletning af personlige oplysninger, som ikke længere er nødvendige til det formål, de blev indsamlet.
I et ord. Bøder. Hvis du ikke behandler nogens data i henhold til GDPR (og du bliver handlet eller fundet ud af det), kan du blive idømt en bøde. Heftigt. Det samme gælder for et datasikkerhedsbrud, der ikke bliver rapporteret.
ICO har magten til at uddele økonomiske sanktioner på op til €10 mio. eller 2 % af en virksomheds globale omsætning (alt efter hvad der er størst) for mindre lovovertrædelser. Det tal går op til 20 mio. EUR eller 4 % for mere alvorlige sager. Det tal plejede at være £500.000.
GDPR har resulteret i en del skræmmeslag, og undergangsprofitterne har været ude i pænt antal. Denham har svaret nogle af kritikerne således:
Om bøder: »Denne lov handler ikke om bøder. Det handler om at sætte forbrugeren og borgeren først. Det kan vi ikke tabe af syne. Fokus på store bøder giver store overskrifter, men at tænke på, at GDPR handler om lammende økonomisk straf, går glip af pointen. ICO's forpligtelse til at vejlede, rådgive og uddanne organisationer om, hvordan de skal overholde loven, ændres ikke under GDPR. Vi har altid foretrukket guleroden frem for pinden.”
Ved samtykke: "For at behandlingen er lovlig i henhold til GDPR, skal du identificere et lovligt grundlag, før du starter. Lokale myndigheder behandler kommunalbeskatningsoplysninger, banker deler data med henblik på beskyttelse mod svig, forsikringsselskaber behandler kravoplysninger. Hvert af disse eksempler bruger et forskelligt lovligt grundlag for behandling af personlige oplysninger, der ikke er samtykke. Den nye lov giver fem andre måder at behandle data på, der kan være mere passende end samtykke."
Om GDPR generelt: "GDPR er en evolutionær proces for organisationer - 25. maj er datoen, hvor lovgivningen træder i kraft, men ingen virksomhed står stille. Det forventes, at du fortsætter med at identificere og håndtere nye privatlivs- og sikkerhedsrisici i ugerne, månederne og årene efter maj 2018. Når det er sagt, vil der ikke være nogen "henstandsperiode" - der har været to år at forberede, og vi vil regulere fra denne dato."
En anden ting er sikker. Vi vender tilbage til dette emne.