I dit jura-interview forventes du at kunne demonstrere, at du har en skarp kommerciel bevidsthed - og at diskutere GDPR på en ligetil og vidende måde er en del af det.
Hvad er GDPR?
GDPR (General Data Protection Regulation) blev indført for at erstatte databeskyttelsesloven fra 1998, og den trådte i kraft for at beskytte rettighederne for EU-borgere i 2018. GDPR er en række strenge forpligtelser, som organisationer og virksomheder skal overholde, når de opbevarer eller behandler personoplysninger om EU-borgere, og den blev udarbejdet og vedtaget af EU for at styrke kontrol og rettigheder, som enkeltpersoner har over deres personoplysninger.
I bund og grund, hvis du behandler personoplysninger om en EU-borger (eller oplysninger om borgere i andre lande, der har vedtaget GDPR), gælder reglerne - selvom din virksomhed eller organisation ikke er i EU.
Andre lande (uden for EU) der har vedtaget GDPR inkluderer:
Argentina
Brasilien
Chile
Japan
Kenya
Mauritius
Sydafrika
Sydkorea
Tyrkiet
Storbritannien
For at forenkle GDPR yderligere og gøre det mere let anvendeligt for virksomheder og organisationer, er de syv principper for GDPR ånden i forpligtelserne og gør det lettere for folk at forstå baggrunden for reglerne.
De syv principper for GDPR
Lovlighed, retfærdighed og gennemsigtighed
Data, der indsamles, skal behandles på en måde, der er lovlig, retfærdig og gennemsigtig. Data skal behandles under strenge retningslinjer, og den måde, det bruges på, skal ikke være skadelig eller uventet. Grunden til, at virksomheden eller organisationen indsamler dataene, skal være klar og åbent kommunikeret til den enkelte, før de accepterer at dele deres data.
Formålsbegrænsning
Alle data, der indsamles, skal være til et legitimt formål, der er specifikt og eksplicit delt. Ikke alene skal organisationen være klar over, hvorfor de indsamler og behandler personoplysninger, men de skal også registrere formålene som en del af deres registrering og beskrive dette i deres privatlivsinformation.
Data minimalisering
Alle indsamlede data skal være tilstrækkelige og relevante for de beskrevne formål, men det skal også være begrænset til disse formål - så kun hvad der er nødvendigt.
Det skal også gennemgås regelmæssigt for at sikre, at det er up-to-date, og alt, der ikke længere er relevant og tilstrækkeligt, skal slettes.
Nøjagtighed
Dataindsamlere og -behandlere skal tage alle rimelige skridt for at sikre, at data opretholdes og holdes ajour efter behov, og at de personoplysninger, der opbevares, ikke er vildledende eller forkerte.
Opbevaringsbegrænsning
Personoplysninger må ikke opbevares længere end absolut nødvendigt - selvom dette kan variere afhængigt af visse omstændigheder, såsom for data, der er i offentlighedens interesse, eller der bruges til historiske eller videnskabelige forskningsformål. Der er specifikke foranstaltninger på plads for data, der falder under disse kategorier for at sikre, at individets rettigheder beskyttes, dog.
Integritet og fortrolighed
Indsamling og behandling af data giver yderligere ansvar for datasikkerheden, og organisationen skal sikre, at dataene er beskyttet, både mod uautoriseret adgang og brug, men også mod ulovlig behandling.
Ansvarlighed
Den udnævnte datakontrollør (og i nogle tilfælde databehandlerne) for en organisation er i sidste ende ansvarlig for de data, de indsamler, behandler og opbevarer. For at demonstrere deres ansvarlighed skal de kunne vise, at de har de passende beskyttelsesforanstaltninger på plads.
Hvorfor er GDPR vigtig for advokatfirmaer?
GDPR er yderst vigtig i advokatfirmaer, fordi persondata indsamles i forskellige former af forskellige årsager.
Et advokatfirma vil have brug for en datakontrollør, der er den primære beslutningstager, når det kommer til indsamling, behandling og opbevaring af data. Personalet i et advokatfirma vil også blive betragtet som databehandlere, der gør dataindsamling og -behandling mulig.
Fra de vigtige oplysninger om kunder, når de bruger juridiske tjenester (som kan omfatte ting som adresser og telefonnumre samt finansielle oplysninger), til det store volumen af data, der indsamles og behandles i forberedelsen til en sag, vil advokatfirmaer gøre brug af personoplysninger, hvilket betyder, at de vil være forpligtet under GDPR til at følge reglerne, når det kommer til EU-borgere.
Uanset om de modtager bulkdata eller mindre mængder, skal advokatfirmaet nøje overveje, hvordan de indsamler og bruger data, og hvordan de opbevarer det efter behandling.
Hvordan man diskuterer GDPR i et interview
Baggrunden for GDPR
At forstå baggrunden for GDPR og hvorfor det blev lanceret er afgørende for enhver organisation, der arbejder med persondata, og hvis du er i stand til at diskutere dette i interviewet, vil du vise rekruttererne, at du har en fremragende kommerciel bevidsthed og viden om vigtigheden af datasikkerhed, også.
Jo mere du kan tale om historien om ting som databeskyttelsesloven og hvordan den blev erstattet med GDPR - og de syv principper samt deres anvendelse, jo mere vil du virke kyndig.
Individets rettigheder
Hele formålet med GDPR er at beskytte individets rettigheder, og der er et par punkter, du skal bringe op, når du taler om GDPR.
For det første, retten til at blive glemt. Artikel 17 i GDPR giver en person mulighed for at anmode om, at data, der er opbevaret om dem, fjernes under visse omstændigheder. Dette inkluderer:
Data, der er indsamlet ulovligt
Individet trækker samtykke til behandling tilbage
Data er ikke længere nødvendigt at beholde.
For det andet, vigtigheden af Data Subject Access Request. På ethvert tidspunkt kan en person anmode om, at en organisation afslører alle de personoplysninger, de har om dem, og disse anmodninger skal behandles rettidigt.
Har en mening om GDPR
GDPR er et vanskeligt emne at forstå, så det er noget, der er værd at bruge lidt tid på at gøre sig bekendt med. En af de vigtigste ting at gøre, når det kommer til at lære om GDPR, er at udvikle en mening om det, da det vil være lettere at formulere ræsonnement og baggrunden for lovgivningen, når du har noget at sige om det.
Øv dig i at tale om GDPR før interviewet - du vil måske prøve at fortælle nogen om det, der måske ikke allerede har viden, for eksempel - så når du kommer til at diskutere det som en del af dit interview, er du allerede forberedt og kan tale klart og selvsikkert.
Hvordan GDPR vil påvirke dit arbejde som advokat
Indvirkningen af GDPR på dataindsamling for organisationer har været en læringskurve, og der er nogle virksomheder, der stadig er lysår bagud, når det kommer til at indsamle og behandle data lovligt.
Men jo mere du ved om, hvordan din rolle som advokat vil blive påvirket af GDPR - og hvad det betyder for dine ansvarsområder i forhold til databeskyttelse - jo bedre vil du kunne sikre, at du bruger personoplysninger på den rigtige måde.
Vær forberedt på at beskrive din rolle som databehandler, og at du kender til at følge GDPR-reglerne som angivet i de syv principper, og du vil allerede være bedre end andre kandidater. Husk, at et advokatfirma kan være nødt til at håndtere bulkdata (for eksempel under opdagelse) og dette kan tilføje et lag af kompleksitet på grund af det store omfang af information.
Diskuter de seneste GDPR-nyheder
De største nyhedshistorier, der kommer fra GDPR-lovgivningen, har tendens til at handle om retssager og bøder, men det er altid værd at holde øje med nyhederne i tilfælde af, at noget stort sker - som en anden virksomhed, der er blevet bødet for at overtræde datastandarder, eller et andet land, der er blevet en del af GDPR-reglerne.
Det er også en god ide at holde øje med resultaterne af de forskellige juridiske udfordringer og appeller, der er i gang for at se, om de straffende handlinger opretholdes.
Udfordringer virksomheder står over for ved implementering af GDPR
I næsten alle tilfælde, hvor der har været en udfordring i implementeringen af GDPR-foranstaltninger, har en stor forhindring været at udpege datakontrolløren. Sommetider omtalt som databeskyttelsesofficeren, er dette den person, der er ansvarlig for at overvåge overholdelsen og sikre, at organisationen som helhed følger den relevante vejledning. De er den person, der rådgiver organisationen om GDPR-spørgsmål og fungerer som et kontaktsted for enkeltpersoner til at kontakte om deres data, når det er nødvendigt.
De fleste større virksomheder, især dem der håndterer følsomme data som et advokatfirma, bør have en særligt udpeget person som DPO, og det er en udfordring at finde den rigtige person til den rolle.
GDPR-overtrædelser
Dette er altid et interessant emne at tale om, fordi det viser, at selv de største virksomheder i verden kan få det galt, når det kommer til at indsamle og behandle data i overensstemmelse med GDPR.
Der er et par sager, der har fået international opmærksomhed, og det skyldes de enorme økonomiske bøder, der er blevet pålagt dem. For eksempel:
Amazon står over for en bøde på 636 millioner pund, fordi en målrettet reklamekampagne ikke brugte korrekt samtykke.
WhatsApp står over for en bøde på 118,8 millioner pund, fordi de ikke afslørede, hvordan brugerdata ville blive delt med Meta, deres moderselskab.
H&M står over for en bøde på 30 millioner pund for overtrædelse af vilkår i håndteringen af deres medarbejderes private informationer.
Eksempler på succesfulde GDPR-implementeringsstrategier
I modsætning til overtrædelserne, jo mere du kan beskrive om, hvad en succesfuld GDPR-implementering ser ud, jo bedre.
Specifikke eksempler på dette kan findes online, eller du har måske en beskrivelse fra dine egne tidligere erfaringer, som du også kan dele, hvilket vil hjælpe.
GDPR og Brexit
Det sidste, man skal være opmærksom på, er, at UK nu har fået GDPR, på trods af at de ikke længere er i EU.
For Storbritannien er GDPR indskrevet i loven, da det blev vedtaget som en del af databeskyttelsesloven, og derefter var der en lovbestemt foranstaltning kaldet The Data Protection, Privacy, and Electronic Communications Regulations 2019 (som nu er kendt som UK GDPR).
I bund og grund betyder dette, at for UK er der ingen reel forskel i reglerne, der er kommet om siden Brexit, og overholdelsen har ikke ændret sig overhovedet.
Nøglepunkter
Hvis du vil ses som kommercielt bevidst i dit jura-interview, vil en grundig viden om GDPR være nyttig. Vær forberedt på at demonstrere, at du forstår de syv principper, anerkender vigtigheden af fremragende implementering, og de mulige straffe for at få det galt - og du vil være i stand til at diskutere lovgivningen på en måde, der både er relevant for organisationen og for den bredere juridiske industri.
