
<div dir="ltr"><a href="http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know">http://www.itpro.co.uk/it-legislation/27814/what-is-gdpr-everything-you-need-to-know</a><br><div class="gmail-field gmail-field-name-body">

      <p> <strong>What is the GDPR?</strong></p>

<p>The EU's <a href="http://ec.europa.eu/justice/data-protection/reform/files/regulation_oj_en.pdf" target="_blank">General Data Protection Regulation (GDPR)</a>

 is the result of four years of work by the EU to bring data protection 

legislation into line with new, previously unforeseen ways that data is 

now used.</p>

<p>Currently, the UK relies on the Data Protection Act 1998, which was 

enacted following the 1995 EU Data Protection Directive, but this will 

be superseded by the new legislation. It introduces tougher fines for 

non-compliance and breaches, and gives people more say over what 

companies can do with their data. It also makes data protection rules 

more or less identical throughout the EU.</p>

<p><strong>Why was the GDPR drafted?</strong></p>

<p>The drivers behind the GDPR are twofold. Firstly, the EU wants to 

give people more control over how their personal data is used, bearing 

in mind that many companies like Facebook and Google swap access to 

people's data for use of their services. The current legislation was 

enacted before the internet and cloud technology created new ways of 

exploiting data, and the GDPR seeks to address that. By strengthening 

data protection legislation and introducing tougher enforcement 

measures, the EU hopes to improve trust in the emerging digital economy.</p>

<p>Secondly, the EU wants to give businesses a simpler, clearer legal 

environment in which to operate, making data protection law identical 

throughout the single market (the EU estimates this will save businesses

 a collective €2.3 billion a year).</p>

<p><strong>When will the GDPR apply?</strong></p>

<p>The GDPR will apply in all EU member states from 25 May 2018. Because

 GDPR is a regulation, not a directive, the UK does not need to draw up 

new legislation - instead, it will apply automatically. While it came 

into force on 24 May 2016, after all parts of the EU agreed to the final

 text, businesses and organisations have until 25 May 2018 until the law

 actually applies to them.</p>

<p><strong>So who does the GDPR apply to?</strong></p>

<p>'Controllers' and 'processors' of data need to abide by the GDPR. A 

data controller states how and why personal data is processed, while a 

processor is the party doing the actual processing of the data. So the 

controller could be any organisation, from a profit-seeking company to a

 charity or government. A processor could be an IT firm doing the actual

 data processing.</p>

<p>Even if controllers and processors are based outside the EU, the GDPR

 will still apply to them so long as they're dealing with data belonging

 to EU citizens.</p>

<p>It's the controller's responsibility to ensure their processor abides

 by data protection law and processors must themselves abide by rules to

 maintain records of their processing activities. If processors are 

involved in a data breach, they are far more liable under GDPR than they

 were under the Data Protection Act.</p>

<p><strong>When can I process data under the GDPR?</strong></p>

<p>Once the legislation comes into effect, controllers must ensure 

personal data is processed lawfully, transparently, and for a specific 

purpose. Once that purpose is fulfilled and the data is no longer 

required, it should be deleted.</p>

<p><strong>What do you mean by 'lawful'?</strong></p>

<p>'Lawfully' has a range of alternative meanings, not all of which need

 apply. Firstly, it could be lawful if the subject has consented to 

their data being processed. Alternatively, lawful can mean to comply 

with a contract or legal obligation; to protect an interest that is 

"essential for the life of" the subject; if processing the data is in 

the public interest; or if doing so is in the controller's legitimate 

interest - such as preventing fraud.</p>

<p>At least one of these justifications must apply in order to process data.</p>

<p><strong>How do I get consent under the GDPR?</strong></p>

<p>Consent must be an active, affirmative action by the data subject, 

rather than the passive acceptance under some current models that allow 

for pre-ticked boxes or opt-outs.</p>

<p>Controllers must keep a record of how and when an individual gave 

consent, and that individual may withdraw their consent whenever they 

want. If your current model for obtaining consent doesn't meet these new

 rules, you'll have to bring it up to scratch or stop collecting data 

under that model when the GDPR applies in 2018.</p>

<p><strong>What counts as personal data under the GDPR?</strong></p>

<p>The EU has substantially expanded the definition of personal data 

under the GDPR. To reflect the types of data organisations now collect 

about people, online identifiers such as IP addresses now qualify as 

personal data. Other data, like economic, cultural or mental health 

information, are also considered personally identifiable information.</p>

<p>Pseudonymised personal data may also be subject to GDPR rules, depending on how easy or hard it is to identify whose data it is.</p>

<p>Anything that counted as personal data under the Data Protection Act also qualifies as personal data under the GDPR.</p>

<p><strong>When can people access the data we store on them?</strong></p>

<p>People can ask for access at "reasonable intervals", and controllers 

must generally respond within one month. The GDPR requires that 

controllers and processors must be transparent about how they collect 

data, what they do with it, and how they process it, and must be clear 

(using plain language) in explaining these things to people.</p>

<p>People have the right to access any information a company holds on 

them, and the right to know why that data is being processed, how long 

it's stored for, and who gets to see it. Where possible, data 

controllers should provide secure, direct access for people to review 

what information a controller stores about them.</p>

<p>They can also ask for that data, if incorrect or incomplete, to be rectified whenever they want.</p>

<p><strong>What's the 'right to be forgotten'?</strong></p>

<p>Individuals also have the right to demand that their data is deleted 

if it's no longer necessary to the purpose for which it was collected. 

This is known as the 'right to be forgotten'. Under this rule, they can 

also demand that their data is erased if they've withdrawn their consent

 for their data to be collected, or object to the way it is being 

processed.</p>

<p>The controller is responsible for telling other organisations (for 

instance, Google) to delete any links to copies of that data, as well as

 the copies themselves.</p>

<p><strong>What if they want to move their data elsewhere?</strong></p>

<p>Controllers must now store people's information in commonly used 

formats (like CSV files), so that they can move a person's data to 

another organisation (free of charge) if the person requests it. 

Controllers must do this within one month.</p>

<p><strong>What if we suffer a data breach?</strong></p>

<p>If you suffer a data breach that puts the rights and freedoms of 

individuals at risk, you must notify a data protection authority (the 

Information Commissioner's Office (ICO) in the UK) within 72 hours of 

your organisation becoming aware of it.</p>

<p>While you can't be expected to detail every aspect of a breach upon 

discovering it, you should notify the data protection authority of the 

nature of the data that has been breached, and the approximate number of

 people affected. You should also detail the potential consequences for 

those people and what measures you have taken or plan to take.</p>

<p>You should also notify the people affected by the breach, even before you tell the data protection authority.</p>

<p>If you don't meet the 72-hour deadline, you risk being saddled with a

 fine of up to €10 million, or 2% of your global annual turnover, 

whichever is greater.</p>

<p><strong>Okay, what other consequences are there for failing to obey the GDPR?</strong></p>

<p>Well, if you don't follow the basic principles for processing data, 

such as consent, ignore individuals' rights over their data, or transfer

 data to another country, the fines are even worse. Your data protection

 authority could issue a penalty of up to €20 million or 4% of your 

global annual turnover, whichever is greater.</p>

<p><strong>But isn't the UK leaving the EU?</strong></p>

<p>Yes, but the UK government has not yet triggered Article 50, which 

sets in motion the act of leaving the EU within a two-year timeframe. 

This means the GDPR will take effect before the legal consequences of 

the Brexit vote, meaning the UK must still comply for the time being.</p>

<p>Karen Bradley, secretary of state for Culture, Media and Sport, <a href="http://data.parliament.uk/writtenevidence/committeeevidence.svc/evidencedocument/culture-media-and-sport-committee/responsibilities-of-the-secretary-of-state-for-culture-media-and-sport/oral/42119.html" target="_blank">said in October</a>:

 "We will be members of the EU in 2018 and therefore it would be 

expected and quite normal for us to opt into the GDPR and then look 

later at how best we might be able to help British business with data 

protection while maintaining high levels of protection for members of 

the public."</p>

<p>Lawyers believe the UK is likely to adopt equivalent legislation to 

the GDPR following Brexit, so UK companies using EU data can continue to

 do so legally, but doubts remain over what will happen, because it 

depends on the nature of the UK's exit from the EU. EU rules on data 

protection could apply fully in the UK if it remains in the single 

market, or the UK may replace all EU rules with its own if it does not 

stay.</p>

  </div><br></div>