Hur man diskuterar GDPR i en juridisk intervju

I din juridiska intervju, kommer du att förväntas kunna visa att du har en skarp kommersiell medvetenhet - och att diskutera GDPR på ett enkelt och kunnigt sätt är en del av det.

GDPR (General Data Protection Regulation) infördes för att ersätta Data Protection Act från 1998 och trädde i kraft för att skydda rättigheterna för EU-medborgare 2018. GDPR är en serie strikta skyldigheter som organisationer och företag måste följa när de lagrar eller behandlar personuppgifter för EU-medborgare, och den utarbetades och antogs av Europeiska Unionen för att stärka kontrollen och rättigheterna som en individ har över sina personuppgifter.

I grund och botten, om du behandlar personuppgifter för en EU-medborgare (eller uppgifter för medborgare i andra länder som har antagit GDPR), då gäller reglerna - även om ditt företag eller organisation inte finns i EU.

Andra länder (utanför EU) som har antagit GDPR inkluderar:

Argentina
Brasilien
Chile
Japan
Kenya
Mauritius
Sydafrika
Sydkorea
Turkiet
Storbritannien

För att förenkla GDPR ytterligare och göra det mer lättillämpat för företag och organisationer, är de sju principerna för GDPR andan i skyldigheterna och gör det lättare för människor att förstå bakgrunden till reglerna.

hur man diskuterar GDPR i en juridisk intervju

Laglighet, rättvisa och transparens

Data som samlas in bör bearbetas på ett sätt som är lagligt, rättvist och transparent. Data bör behandlas under strikta riktlinjer, och hur den används bör inte vara skadlig eller oväntad. Anledningen till att företaget eller organisationen samlar in datan bör vara tydlig och öppet kommunicerad till individen innan de går med på att dela sina data.

Begränsning av ändamål

All data som samlas in bör vara för ett legitimt ändamål som är specifikt och uttryckligen delat. Inte bara måste organisationen vara tydlig om varför de samlar in och behandlar personuppgifter, men de måste också registrera ändamålen som en del av sin dokumentation och beskriva detta i sin integritetsinformation.

Dataminimering

All data som samlas in behöver vara adekvat och relevant för de beskrivna ändamålen, men den bör också begränsas till dessa ändamål - så bara det som är nödvändigt.

Den bör också granskas periodiskt för att säkerställa att den är aktuell och allt som inte längre är relevant och adekvat raderas.

Noggrannhet

Datainsamlare och -bearbetare bör vidta alla rimliga åtgärder för att säkerställa att data underhålls och hålls uppdaterad där det behövs, och att de personuppgifter som behålls inte är vilseledande eller felaktiga.

Begränsning av lagring

Personuppgifter bör inte behållas längre än absolut nödvändigt - även om detta kan variera beroende på vissa omständigheter, till exempel för data som är av allmänt intresse, eller används för historiska eller vetenskapliga forskningsändamål. Det finns specifika åtgärder på plats för data som faller under dessa kategorier för att säkerställa att individernas rättigheter skyddas, dock.

Integritet och konfidentialitet

Insamling och behandling av data ger ytterligare ansvar för datasäkerheten, och organisationen måste se till att data skyddas, både från obehörig åtkomst och användning, men också mot olaglig behandling.

Ansvarighet

Den utsedda datakontrollanten (och i vissa fall databearbetarna) för en organisation är i slutändan ansvariga för den data de samlar in, bearbetar och lagrar. För att visa deras ansvar, behöver de kunna visa att de har lämpliga skyddsåtgärder på plats.

GDPR är extremt viktigt i advokatfirmor eftersom personuppgifter samlas in i olika former av olika skäl.

En advokatfirma kommer att behöva en datakontrollant, som är den huvudsakliga beslutsfattaren när det gäller insamling, bearbetning och lagring av data. Personalen på en advokatfirma kommer också att betraktas som databearbetare, vilket gör att datainsamling och bearbetning sker.

Från den viktiga informationen om klienter när de använder juridiska tjänster (som kan inkludera saker som adresser och telefonnummer samt finansiell information), till den stora mängden data som samlas in och bearbetas i förberedelse för ett fall, kommer advokatfirmor att använda personuppgifter vilket innebär att de kommer att vara skyldiga enligt GDPR att följa reglerna när det gäller EU-medborgare.

Oavsett om de tar emot bulkdata eller mindre mängder, kommer advokatfirman att noga behöva överväga hur de samlar in och använder data, och hur de lagrar den efter bearbetning.

Att förstå bakgrunden till GDPR och varför det lanserades är väsentligt för alla organisationer som hanterar personuppgifter, och om du kan diskutera detta i intervjun kommer du att visa rekryterarna att du har en utmärkt kommersiell medvetenhet och kunskap om vikten av datasäkerhet, också.

Ju mer du kan prata om historien om saker som Data Protection Act och hur det ersattes med GDPR - och de sju principerna samt deras tillämpning, desto mer kommer du att verka kunnig.

Individernas rättigheter

Hela poängen med GDPR är att skydda individens rättigheter, och det finns ett par punkter som du bör ta upp när du pratar om GDPR.

För det första, rätten att bli glömd. Artikel 17 i GDPR ger en individ rätt att begära att data som hålls om dem ska tas bort under vissa omständigheter. Detta inkluderar:

Data som olagligt samlats in
Individen drar tillbaka sitt samtycke för bearbetning
Daten är inte längre nödvändig att behålla.

För det andra, vikten av Data Subject Access Request. När som helst kan en individ begära att en organisation avslöjar all personlig data som de håller om dem, och dessa förfrågningar måste hanteras på ett snabbt sätt.

GDPR är ett knepigt ämne att förstå, så det är något som är värt att spendera lite tid på att bekanta sig med. En av de viktigaste sakerna att göra när det gäller att lära sig om GDPR är att utveckla en åsikt om det, eftersom det att kunna artikulera resonemanget och bakgrunden till lagstiftningen kommer att vara lättare när du har något att säga om det.

Öva på att prata om GDPR innan intervjun - du kanske vill försöka berätta för någon om det som kanske inte redan har kunskap, till exempel - så att när du kommer att diskutera det som en del av din intervju är du redan förberedd och kan tala klart och självsäkert.

diskutera GDPR i en juridisk intervju

Effekten av GDPR på datainsamling för organisationer har varit en inlärningskurva, och det finns vissa företag som fortfarande är ljusår efter när det gäller att samla in och bearbeta data lagligt.

Men ju mer du vet om hur din roll som advokat kommer att påverkas av GDPR - och vad det innebär för ditt ansvar för dataskydd - desto bättre kommer du att kunna se till att du använder personuppgifter på rätt sätt.

Var beredd på att beskriva din roll som databearbetare, och att du vet om att följa GDPR-reglerna som anges i de sju principerna, och du kommer redan att vara bättre än andra kandidater. Glöm inte att en advokatfirma kanske måste hantera bulkdata (till exempel under upptäckt) och detta kan lägga till ett lager av komplexitet på grund av den stora mängden information.

De största nyhetshistorierna som kommer från GDPR-lagstiftningen tenderar att handla om rättsfall och böter, men det är alltid värt att hålla ett öga på nyheterna ifall något stort händer - som ett annat företag som har bötfällts för att ha brutit mot datanormer, eller ett annat land som har blivit en del av GDPR-reglerna.

Det är också en bra idé att hålla koll på resultaten av de olika juridiska utmaningar och överklaganden som pågår för att se om de bestraffande åtgärderna upprätthålls.

I nästan alla fall där det har varit en utmaning att implementera GDPR-åtgärder, har ett stort hinder varit att utse datakontrollanten. Ibland kallad Data Protection Officer, är detta personen som ansvarar för att övervaka efterlevnaden och se till att organisationen som helhet följer relevant vägledning. De är den person som råder organisationen om GDPR-frågor, och fungerar som en kontakt för individer att kontakta om deras data när det behövs.

De flesta större företag, särskilt de som hanterar känslig data som en advokatfirma, bör ha en särskilt utsedd person som DPO, och att hitta rätt person för den rollen är en utmaning.

Detta är alltid ett intressant ämne att prata om, eftersom det visar att även de största företagen i världen kan få det fel när det gäller att samla in och bearbeta data i enlighet med GDPR.

Det finns några fall som har fått internationell uppmärksamhet, och det beror på de enorma finansiella straff som har utdömts mot dem. Till exempel:

Amazon står inför en böter på 636 miljoner pund eftersom ett riktat reklamprogram inte använde korrekt samtycke.
WhatsApp står inför en böter på 118,8 miljoner pund eftersom de inte avslöjade hur användardata skulle delas med Meta, deras moderbolag.
H&M står inför en böter på 30 miljoner pund för att ha brutit mot villkoren för hantering av sina anställdas privata information.

I motsats till överträdelserna, ju mer du kan beskriva om hur framgångsrik GDPR-implementering ser ut desto bättre.

Specifika exempel på detta kan hittas online, eller du kanske har en beskrivning från dina egna tidigare erfarenheter som du kan dela med dig av också vilket kommer att hjälpa.

Det sista att vara medveten om är att Storbritannien nu har GDPR, trots att de inte längre är i EU.

För Storbritannien är GDPR lagstadgad eftersom det antogs som en del av Data Protection Act, och sedan fanns det ett statligt instrument som kallas The Data Protection, Privacy, and Electronic Communications Regulations 2019 (som nu är känt som UK GDPR).

I huvudsak innebär detta att för Storbritannien finns det ingen verklig skillnad i regler som har kommit till sedan Brexit, och efterlevnaden har inte ändrats alls.

Viktiga lärdomar

Om du vill ses som kommersiellt medveten i din juridiska intervju, kommer en noggrann kunskap om GDPR att komma till nytta. Var beredd att visa att du förstår de sju principerna, erkänner vikten av utmärkt implementering och de möjliga straffen för att få det fel - och du kommer att kunna diskutera lagstiftningen på ett sätt som både är relevant för organisationen och för den bredare juridiska industrin.