gdpr
play

GDPR Leyla Hannbeck MRPharmS, MBA, MSc, MA NPA Chief - PowerPoint PPT Presentation

GDPR Leyla Hannbeck MRPharmS, MBA, MSc, MA NPA Chief Pharmacist and Director of Pharmacy General Data Protec<on Regula<on (GDPR)


  1. ¡ ¡ GDPR ¡ Leyla ¡Hannbeck ¡ MRPharmS, ¡MBA, ¡MSc, ¡MA ¡ NPA ¡Chief ¡Pharmacist ¡and ¡Director ¡of ¡ Pharmacy ¡ ¡

  2. ¡ ¡ ¡ General ¡Data ¡Protec<on ¡ Regula<on ¡ ¡ (GDPR) ¡ ¡ ¡ Leyla ¡Hannbeck ¡ MRPharmS, ¡MBA, ¡MSc, ¡MA ¡ NPA ¡Chief ¡Pharmacist ¡and ¡Director ¡of ¡ Pharmacy ¡ ¡

  3. Data ¡protec<on ¡law: ¡what ¡is ¡changing? ¡ General ¡Data ¡ Data ¡Protec<on ¡ Protec<on ¡Regula<on ¡ ¡ Direc<ve ¡ (GDPR) ¡ ¡ Applies ¡from ¡25 th ¡May ¡2018 ¡ + ¡ ¡ ¡ Data ¡Protec<on ¡Bill ¡ ¡ Data ¡Protec<on ¡ 2017 ¡ ¡ ¡ Act ¡1998 ¡(DPA) ¡ Currently ¡passing ¡through ¡UK ¡ ¡ parliament ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡ ¡

  4. ¡ GDPR: ¡brief ¡overview ¡ ¡ • Implementa<on ¡date: ¡25 ¡May ¡2018 ¡ • Many ¡concepts ¡and ¡principles ¡similar ¡to ¡exis9ng ¡DPA ¡ • New ¡elements ¡ and ¡ significantly ¡enhanced ¡requirements ¡ • Key ¡changes ¡include: ¡ Public ¡ ¡ – Updated ¡data ¡protec9on ¡principles ¡and ¡scope ¡ awareness ¡via ¡ – Updated ¡condi9ons ¡for ¡processing ¡data ¡ media!! ¡ – New ¡rules ¡regarding ¡consent ¡ – New, ¡specific ¡legal ¡responsibili<es ¡for ¡organisa<ons ¡processing ¡children’s ¡ data ¡ – New ¡obliga<ons ¡for ¡data ¡controllers ¡and ¡processors ¡ – New ¡addi<on ¡of ¡the ¡‘ accountability ¡principle ’ ¡and ¡the ¡role ¡of ¡the ¡‘ Data ¡ Protec1on ¡Officer” ¡ – Greater ¡regula9on ¡and ¡enforcement ¡ – Enhanced ¡data ¡subject ¡rights ¡

  5. Data ¡Protec<on ¡Act ¡ The ¡General ¡Data ¡Protec<on ¡Regula<on ¡ Only ¡applicable ¡in ¡UK ¡ Applies ¡to ¡all ¡EU ¡countries ¡ No ¡requirement ¡for ¡a ¡data ¡ Appointment ¡of ¡a ¡data ¡protec<on ¡officer ¡(DPO) ¡ protec<on ¡officer ¡(DPO) ¡ required ¡for ¡certain ¡organisa<ons ¡ Consent: ¡does ¡not ¡necessarily ¡ Consent: ¡must ¡be ¡specific, ¡posi<vely ¡opted-­‑in ¡and ¡ require ¡posi<ve ¡opt-­‑in ¡ not ¡implied ¡ Covers ¡personal ¡data ¡and ¡sensi<ve ¡ Covers ¡personal ¡data ¡and ¡special ¡categories ¡of ¡ personal ¡data ¡ data ¡(which ¡includes ¡gene<c/biometric ¡data, ¡ loca<on ¡data ¡and ¡online ¡iden<fiers) ¡ Responsibility ¡lies ¡predominantly ¡ Responsibility ¡lies ¡with ¡ ¡both ¡the ¡data ¡controller ¡ with ¡the ¡data ¡controller ¡ and ¡processor ¡ Comparably ¡less ¡accountability ¡ Accountability ¡principle ¡explicitly ¡defined ¡ Subject ¡access ¡requests: ¡ ¡ Subject ¡access ¡request: ¡ ¡ £10 ¡and ¡within ¡40 ¡days ¡ free ¡of ¡charge ¡and ¡within ¡30 ¡days ¡

  6. ¡ GDPR: ¡personal ¡data ¡ • GDPR ¡applies ¡to ¡personal ¡data ¡ • Personal ¡data ¡includes: ¡ – Informa9on ¡manually ¡held ¡in ¡filing ¡systems ¡ ¡ – Automated ¡personal ¡data ¡ – IP ¡address ¡ • ‘ Special ¡categories ¡of ¡personal ¡data ’ ¡ – Similar ¡to ¡the ¡concept ¡of ¡sensi9ve ¡personal ¡data ¡ under ¡the ¡current ¡DPA ¡ – GDPR ¡includes ¡gene9c/biometric ¡data ¡where ¡it ¡is ¡ processed ¡to ¡iden9fy ¡an ¡individual ¡

  7. ¡ GDPR: ¡applica<on ¡ GDPR ¡applies ¡to: ¡ Exemp<ons ¡to ¡GDPR: ¡ All ¡data ¡controllers ¡and ¡data ¡ Certain ¡ac9vi9es ¡are ¡exempt ¡ processors ¡ from ¡GDPR ¡requirements ¡ ¡ including ¡those: ¡ • A ¡ data ¡controller ¡ determines ¡ ¡ how ¡and ¡why ¡personal ¡data ¡is ¡ • Covered ¡by ¡the ¡Law ¡Enforcement ¡ processed ¡ Direc9ve ¡ • A ¡ data ¡processor ¡ carries ¡out ¡ • Used ¡for ¡na9onal ¡security ¡ the ¡processing ¡on ¡behalf ¡of ¡ purposes ¡ ¡ the ¡data ¡controller ¡ • Carried ¡out ¡by ¡individuals ¡purely ¡ for ¡personal/household ¡ac9vi9es ¡

  8. ¡ GDPR: ¡Lawful ¡basis ¡for ¡processing ¡ 1. ¡Data ¡subject ¡provides ¡ consent ¡to ¡the ¡processing ¡of ¡their ¡personal ¡data ¡for ¡one/more ¡specific ¡ purposes ¡ 2. ¡Data ¡processing ¡is ¡necessary ¡due ¡to ¡a ¡ contract ¡in ¡place ¡or ¡prior ¡to ¡an ¡individual ¡entering ¡into ¡ a ¡contract ¡ ¡ 3. ¡Data ¡processing ¡is ¡necessary ¡for ¡compliance ¡with ¡a ¡ legal ¡obliga<on ¡to ¡which ¡the ¡controller ¡ is ¡subject ¡ 4. ¡Data ¡processing ¡is ¡necessary ¡to ¡ protect ¡ the ¡vital ¡interests ¡of ¡the ¡data ¡subject ¡/another ¡ natural ¡person ¡ 5. ¡Data ¡processing ¡is ¡necessary ¡for ¡the ¡ performance ¡of ¡a ¡task ¡ undertaken ¡in ¡public ¡interest ¡or ¡ to ¡exercise ¡of ¡official ¡authority ¡vested ¡in ¡the ¡controller ¡ 6. ¡Data ¡processing ¡is ¡necessary ¡for ¡the ¡ controller/third ¡party ¡legi<mate ¡interests ; ¡ except ¡ where ¡the ¡data ¡subject’s ¡rights ¡and ¡freedoms ¡overrides ¡it, ¡par9cular ¡if ¡the ¡data ¡subject ¡is ¡a ¡ child ¡ – ¡ this ¡does ¡not ¡apply ¡to ¡data ¡processing ¡by ¡public ¡authori9es ¡in ¡the ¡performance ¡of ¡their ¡ tasks ¡

  9. ¡ GDPR: ¡consent ¡ Must ¡be ¡ Cannot ¡be ¡ Given ¡freely, ¡be ¡specific, ¡informed ¡and ¡ Assumed ¡from ¡the ¡individual’s ¡lack ¡of ¡ unambiguous ¡ ac9on/response ¡ ¡ Obtained ¡by ¡clear ¡affirma9ve ¡ac9on ¡ Through ¡pre-­‑9cked ¡consent ¡boxes ¡ ¡ Verifiable ¡and ¡posi9vely ¡opted-­‑in ¡ Obtained ¡by ¡default ¡or ¡by ¡using ¡opt-­‑ out ¡boxes ¡ ¡ Simple/straigh]orward ¡to ¡withdraw ¡ Part ¡of ¡any ¡terms ¡and ¡condi9ons ¡of ¡a ¡ consent ¡ service ¡ Consent: ¡ • May ¡not ¡always ¡be ¡required ¡– ¡remember ¡there ¡are ¡five ¡other ¡lawful ¡bases ¡ permi_ng ¡the ¡processing ¡of ¡an ¡individual’s ¡personal ¡data ¡ • Must ¡be ¡obtained ¡where ¡another ¡lawful ¡basis ¡for ¡data ¡processing ¡is ¡not ¡applicable ¡

  10. ¡ GDPR: ¡consent ¡ The ¡Informa9on ¡Commissioner’s ¡Office ¡(ICO) ¡ recommenda9ons: ¡ ¡ • Regularly ¡review ¡and ¡update ¡consent ¡and ¡ associated ¡procedures ¡(as ¡necessary) ¡ ¡ – There ¡is ¡ no ¡set ¡9me ¡limit/expiry ¡date ¡for ¡consent ¡ validity ¡ • Keep ¡records ¡of ¡evidence ¡ ¡ – Including ¡the ¡name ¡of ¡individual ¡providing ¡consent, ¡ how ¡consent ¡was ¡provided ¡and ¡date/purpose ¡for ¡ consent ¡

  11. ¡ GDPR: ¡individual ¡rights ¡ • The ¡rights ¡of ¡individuals ¡under ¡the ¡GDPR ¡are ¡ similar ¡ to ¡those ¡under ¡the ¡DPA; ¡however, ¡there ¡are ¡notable ¡ enhancements ¡ • The ¡GDPR ¡provides ¡ eight ¡rights ¡ for ¡individuals ¡ • Not ¡all ¡of ¡the ¡rights ¡are ¡absolute ¡– ¡some ¡rights ¡are ¡ only ¡applicable ¡in ¡ certain ¡circumstances ¡ • When ¡responding ¡to ¡an ¡individual’s ¡request ¡to ¡ exercise ¡their ¡individual ¡right, ¡organisa9ons ¡must ¡ comply ¡within ¡a ¡ defini<ve ¡<me ¡frame ¡ ¡

  12. ¡ GDPR: ¡individual ¡rights ¡ 1. ¡The ¡right ¡to ¡be ¡ informed ¡ 2. ¡The ¡right ¡of ¡ access ¡ 3. ¡ The ¡right ¡to ¡ rec<fica<on ¡ 4. ¡ The ¡right ¡to ¡ erasure ¡ 5. ¡ The ¡right ¡to ¡ restrict ¡processing ¡ 6. ¡The ¡right ¡to ¡ data ¡portability ¡ 7. ¡The ¡right ¡to ¡ object ¡ 8. ¡ Rights ¡in ¡rela9on ¡to ¡ automated ¡decision ¡making ¡including ¡ profiling ¡

  13. Individual ¡rights: ¡right ¡to ¡be ¡informed ¡ ¡ • Organisa9ons ¡must ¡provide ¡ “fair ¡processing ¡ informa<on” ¡ • Fair ¡processing ¡informa9on ¡is ¡usually ¡ presented ¡in ¡the ¡form ¡of ¡a ¡ privacy ¡no<ce ¡ • Privacy ¡no9ce ¡must ¡be ¡concise, ¡ transparent , ¡ intelligible , ¡and ¡use ¡ clear ¡and ¡ plain ¡language ¡

Recommend


More recommend