Virksomheder skal udsende meddelelser om gyldige databrud til den "lokale tilsynsmyndighed" inden for 72 timer efter at have fået kendskab til dem.
Undladelse af at rapportere et brud kan resultere i en undersøgelse og/eller straf. Enkeltpersoner har også mulighed for at anlægge et gruppesøgsmål, hvis en virksomhed ikke overholder GDPR.
Lovgivningen gælder for alle store og små virksomheder i Storbritannien – der vil ikke være nogen undtagelser for små virksomheder.
Der er et obligatorisk krav om indberetning af brud, hvor arbejdsgivere skal indberette visse typer brud til databeskyttelsesmyndigheden. Et personligt brud opstår, hvor en virksomheds sikkerhedssystemer er blevet kompromitteret, hvilket fører til "utilsigtet eller ulovlig ødelæggelse, tab, ændring, uautoriseret videregivelse af eller adgang til personlige data" .
En virksomhed skal bestemme graden af bruddets alvor og den risiko, det kan udgøre for en persons rettigheder og friheder. Hvis det anses for at være en risiko, skal du underrette Information Commissioner's Office (ICO) . Hvis der ikke er nogen risiko, behøver du ikke rapportere det.
Virksomheder, der ikke rapporterer et brud, bør dog føre et register og være i stand til at begrunde deres begrundelse for deres beslutning om ikke at rapportere det og dokumentere disse årsager.
Sørg for, at du har passende procedurer på plads til at underrette regulatoren, hvor brud er blevet rapporteret og identificeret. Informer alt personale om den korrekte procedure, der skal følges, hvis der skulle opstå et brud.
Spørg dit it-team eller dine it-medarbejdere for at sikre, at dine computersystemer giver dine medarbejdere mulighed for sikkert at slette og administrere personlige data i overensstemmelse med GDPR-lovgivningen .
ICO vil tage manglende overholdelse meget alvorligt med betydelige bøder og sanktioner på plads for virksomheder, der overtræder GDPR-lovgivningen. Der vil blive pålagt bøder på €20 millioner eller 4 procent af en virksomheds omsætning, alt efter hvad der er det højeste beløb.
Bødeniveauet, der pålægges, vil afhænge af, hvilken type overtrædelse en virksomhed har begået. Bøderne er designet til at straffe enhver virksomhed, der bevidst ignorerer deres GDPR-forpligtelser efter maj-deadline.
Dog kan bøder mildnes, hvis der er beviser, der viser, at en virksomhed har forberedt sig og arbejdet hen imod GDPR-overholdelse.
GDPR gratis guide
Det du skal vide om samtykke, e-mail med lønsedler og din juridiske forpligtelse
Virksomheder er juridisk forpligtet til at beskytte lønoplysninger på vegne af deres kunder/medarbejdere. Guiden vil afdække ins og outs af indvirkningen af GDPR på din lønbehandling, og fremhæver de største bekymringsområder, herunder e-mail med lønsedler, medarbejdersamtykke og din juridiske forpligtelse.
Download guide
Brightpay udstiller på Accountex den 23.-24. maj i ExCel i London, på stand 430.