I ditt jusintervju, forventes det at du kan demonstrere at du har en skarp kommersiell bevissthet - og å diskutere GDPR på en klar og kunnskapsrik måte er en del av det.
Hva er GDPR?
GDPR (General Data Protection Regulation) ble innført for å erstatte Data Protection Act fra 1998 og trådte i kraft for å beskytte rettighetene til EU-borgere i 2018. GDPR er en serie strenge forpliktelser som organisasjoner og bedrifter må overholde når de lagrer eller behandler personopplysninger om EU-borgere, og det ble utformet og vedtatt av Den europeiske union for å styrke kontrollen og rettighetene som en person har over sine personopplysninger.
I hovedsak, hvis du behandler personopplysningene til en EU-borger (eller dataene til borgere i andre land som har vedtatt GDPR), så gjelder regelverket - selv om selskapet eller organisasjonen din ikke befinner seg i EU.
Andre land (utenfor EU) som har vedtatt GDPR inkluderer:
Argentina
Brasil
Chile
Japan
Kenya
Mauritius
Sør-Afrika
Sør-Korea
Tyrkia
Storbritannia
For å forenkle GDPR ytterligere og gjøre det mer lett anvendelig for bedrifter og organisasjoner, er de syv prinsippene for GDPR ånden i forpliktelsene og gjør det lettere for folk å forstå bakgrunnen for regelverket.
De syv prinsippene for GDPR
Lovlighet, rettferdighet og åpenhet
Data som samles inn bør behandles på en måte som er lovlig, rettferdig og åpen. Data bør behandles under strenge retningslinjer, og bruken av det bør ikke være skadelig eller uventet. Grunnen til at selskapet eller organisasjonen samler inn dataene bør være klar og åpent kommunisert til den enkelte før de samtykker i å dele sine data.
Formålsbegrensning
Alle data som samles inn bør være for et legitimt formål som er spesifikt og eksplisitt delt. Ikke bare må organisasjonen være klar over hvorfor de samler inn og behandler personopplysninger, men de må også registrere formålene som en del av deres registrering og beskrive dette i deres personvernopplysninger.
Dataminimering
Alle data som samles inn må være tilstrekkelige og relevante for formålene som er beskrevet, men det bør også være begrenset til disse formålene - så bare det som er nødvendig.
Det bør også vurderes regelmessig for å sikre at det er oppdatert og at alt som ikke lenger er relevant og tilstrekkelig blir slettet.
Nøyaktighet
Datainnsamlere og -behandlere bør ta alle rimelige skritt for å sikre at data opprettholdes og holdes oppdatert der det er nødvendig, og at de personopplysningene som oppbevares ikke er villedende eller feil.
Lagringsbegrensning
Personopplysninger bør ikke oppbevares lenger enn det som er absolutt nødvendig - selv om dette kan variere avhengig av visse omstendigheter, som for data som er i allmennhetens interesse, eller som brukes til historiske eller vitenskapelige forskningsformål. Det er spesifikke tiltak på plass for data som faller under disse kategoriene for å sikre at individets rettigheter er beskyttet, imidlertid.
Integritet og konfidensialitet
Innsamling og behandling av data gir ytterligere ansvar for datasikkerheten, og organisasjonen må sikre at data er beskyttet, både mot uautorisert tilgang og bruk, men også mot ulovlig behandling.
Ansvarlighet
Den utpekte databehandleren (og i noen tilfeller databehandlerne) for en organisasjon er i siste instans ansvarlig for dataene de samler inn, behandler og lagrer. For å demonstrere sin ansvarlighet, må de kunne vise at de har de nødvendige beskyttelsestiltakene på plass.
Hvorfor er GDPR viktig for advokatfirmaer?
GDPR er ekstremt viktig i advokatfirmaer fordi personopplysninger samles inn i forskjellige former av forskjellige grunner.
Et advokatfirma vil trenge en databehandler, som er hovedbeslutningstakeren når det kommer til innsamling, behandling og lagring av data. Ansatte i et advokatfirma vil også bli ansett som databehandlere, som gjør datainnsamlingen og -behandlingen skje.
Fra viktig informasjon om klienter når de bruker juridiske tjenester (som kan inkludere ting som adresser og telefonnumre samt økonomisk informasjon), til det store volumet av data som samles inn og behandles i forberedelse til en sak, vil advokatfirmaer gjøre bruk av personopplysninger, noe som betyr at de vil være forpliktet under GDPR til å følge regelverket når det gjelder EU-borgere.
Enten de mottar bulkdata eller mindre mengder, må advokatfirmaet nøye vurdere hvordan de samler inn og bruker data, og hvordan de lagrer det etter behandling.
Hvordan diskutere GDPR i et intervju
Bakgrunnen for GDPR
Å forstå bakgrunnen for GDPR og hvorfor det ble lansert er avgjørende for enhver organisasjon som håndterer personopplysninger, og hvis du kan diskutere dette i intervjuet vil du vise rekruttererne at du har en utmerket kommersiell bevissthet og kunnskap om viktigheten av datasikkerhet, også.
Jo mer du kan snakke om historien om ting som Data Protection Act og hvordan det ble erstattet med GDPR - og de syv prinsippene samt deres anvendelse, jo mer kunnskapsrik vil du virke.
Individets rettigheter
Hele poenget med GDPR er å beskytte individets rettigheter, og det er et par punkter du bør bringe opp når du snakker om GDPR.
Først, retten til å bli glemt. Artikkel 17 i GDPR gir en person rett til å be om at data som holdes om dem blir fjernet under visse omstendigheter. Dette inkluderer:
Data som ble samlet inn ulovlig
Personen trekker tilbake samtykke til behandling
Dataene er ikke lenger nødvendige å beholde.
For det andre, viktigheten av Data Subject Access Request. Når som helst kan en person be en organisasjon om å avsløre alle personopplysningene de har om dem, og disse forespørslene må behandles på en rettidig måte.
Ha en mening om GDPR
GDPR er et vanskelig emne å forstå, så det er noe som er verdt å bruke litt tid på å bli kjent med. En av de viktigste tingene å gjøre når det kommer til å lære om GDPR er å utvikle en mening om det, ettersom det vil være lettere å formulere begrunnelsen og bakgrunnen for lovgivningen når du har noe å si om det.
Øv på å snakke om GDPR før intervjuet - du vil kanskje prøve å fortelle noen om det som kanskje ikke allerede har kunnskap, for eksempel - slik at når du kommer til å diskutere det som en del av intervjuet ditt, er du allerede forberedt og kan snakke klart og selvsikkert.
Hvordan GDPR vil påvirke arbeidet ditt som advokat
Påvirkningen av GDPR på datainnsamlingen for organisasjoner har vært en læringskurve, og det er noen bedrifter som fortsatt er lysår bak når det gjelder å samle inn og behandle data lovlig.
Imidlertid, jo mer du vet om hvordan rollen din som advokat vil bli påvirket av GDPR - og hva det betyr for dine forpliktelser til databeskyttelse - jo bedre vil du kunne sikre at du bruker personopplysninger på riktig måte.
Vær forberedt på å beskrive din rolle som en databehandler, og at du vet om å følge GDPR-reguleringene som er fastsatt i de syv prinsippene, og du vil allerede være bedre enn andre kandidater. Ikke glem at et advokatfirma kanskje må håndtere bulkdata (for eksempel under oppdagelse) og dette kan legge til et lag av kompleksitet på grunn av det enorme volumet av informasjon.
Diskutere de siste GDPR-nyhetene
De største nyhetssakene som kommer fra GDPR-lovgivningen pleier å være om rettssaker og bøter, men det er alltid verdt å holde øye med nyhetene i tilfelle noe stort skjer - som et annet selskap som har fått bot for brudd på databeskyttelsesstandarder, eller et annet land som har blitt en del av GDPR-reguleringene.
Det er også en god ide å se på resultatene av de forskjellige juridiske utfordringene og ankeprosessene som er i gang for å se om de straffende tiltakene opprettholdes.
Utfordringer bedrifter møter ved implementering av GDPR
I nesten alle tilfeller der det har vært en utfordring i å implementere GDPR-tiltak, har en stor hindring vært å utnevne databehandleren. Noen ganger referert til som Data Protection Officer, dette er personen som er ansvarlig for å overvåke overholdelse og sørge for at organisasjonen som helhet følger den relevante veiledningen. De er personen som rådgir organisasjonen om GDPR-saker, og fungerer som et kontaktpunkt for enkeltpersoner å kontakte om dataene deres når det er nødvendig.
De fleste større bedrifter, spesielt de som håndterer sensitive data som et advokatfirma, bør ha en spesielt utnevnt person som DPO, og å finne den rette personen for den rollen er en utfordring.
GDPR-brudd
Dette er alltid et interessant emne å snakke om, fordi det viser at selv de største selskapene i verden kan gjøre feil når det gjelder å samle inn og behandle data i tråd med GDPR.
Det er noen saker som har fått internasjonal oppmerksomhet, og det er på grunn av de enorme økonomiske straffene som er ilagt dem. For eksempel:
Amazon står overfor en bot på 636 millioner pund fordi et målrettet annonseringsprogram ikke brukte riktig samtykke.
WhatsApp står overfor en bot på 118,8 millioner pund fordi de ikke opplyste om hvordan brukerdata ville bli delt med Meta, deres morselskap.
H&M står overfor en bot på 30 millioner pund for brudd på vilkårene ved håndtering av de ansattes private informasjon.
Eksempler på vellykkede GDPR-implementeringsstrategier
I motsetning til bruddene, jo mer du kan beskrive om hva vellykket GDPR-implementering ser ut som, jo bedre.
Spesifikke eksempler på dette kan bli funnet online, eller du kan ha en beskrivelse fra dine egne tidligere erfaringer som du også kan dele, noe som vil hjelpe.
GDPR og Brexit
Det siste du bør være oppmerksom på er at Storbritannia nå har GDPR, til tross for at de ikke lenger er i EU.
For Storbritannia er GDPR forankret i loven da det ble vedtatt som en del av Data Protection Act, og deretter var det en lovforskrift kalt The Data Protection, Privacy, and Electronic Communications Regulations 2019 (som nå er kjent som UK GDPR).
I hovedsak betyr dette at for Storbritannia er det ingen reell forskjell i reguleringene som har kommet om siden Brexit, og overholdelse har ikke endret seg i det hele tatt.
Nøkkelpunkter
Hvis du vil bli sett som kommersielt bevisst i jusintervjuet ditt, vil det være nyttig å ha en grundig kunnskap om GDPR. Vær forberedt på å demonstrere at du forstår de syv prinsippene, anerkjenner viktigheten av utmerket implementering, og de mulige straffene for å gjøre det galt - og du vil kunne diskutere lovgivningen på en måte som er både relevant for organisasjonen og for den bredere juridiske industrien.
