Företag måste utfärda meddelanden om giltiga dataintrång till den "lokala tillsynsmyndigheten" inom 72 timmar efter att de blivit medvetna om dem.
Att underlåta att rapportera ett brott kan resultera i en utredning och/eller påföljd. Individer har också möjlighet att lämna in en grupptalan om ett företag inte följer GDPR.
Lagstiftningen gäller alla stora och små företag i Storbritannien – det kommer inte att finnas några undantag för småföretag.
Det finns ett obligatoriskt krav på intrångsrapportering, där arbetsgivare ska rapportera vissa typer av överträdelser till dataskyddsmyndigheten. Ett personligt intrång inträffar när ett företags säkerhetssystem har äventyrats som leder till "oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt avslöjande av eller tillgång till personuppgifter" .
Ett företag måste fastställa graden av överträdelsens svårighetsgrad och risken det kan innebära för en individs rättigheter och friheter. Om det anses vara en risk måste du meddela Information Commissioner's Office (ICO) . Om det inte finns någon risk behöver du inte anmäla det.
Företag som inte rapporterar ett intrång bör dock föra register och kunna motivera sina resonemang bakom sitt beslut att inte rapportera det och dokumentera dessa skäl.
Se till att du har lämpliga rutiner på plats för att meddela tillsynsmyndigheten där överträdelser har rapporterats och identifierats. Informera all personal om den korrekta procedur som ska följas om ett brott skulle inträffa.
Kontrollera med ditt IT-team eller din personal för att säkerställa att dina datorsystem tillåter dina anställda att säkert radera och hantera personuppgifter i enlighet med GDPR-lagstiftningen .
ICO kommer att ta bristande efterlevnad på största allvar med betydande böter och påföljder för företag som bryter mot GDPR-lagstiftningen. Böter på 20 miljoner euro eller 4 procent av ett företags omsättning, beroende på vilket belopp som är högst.
Nivån på böterna som utdöms beror på vilken typ av överträdelse som ett företag har begått. Böterna är utformade för att straffa alla företag som medvetet ignorerar sina GDPR-skyldigheter efter deadline i maj.
Däremot kan böter mildras om det finns bevis som visar att ett företag har förberett och arbetat för efterlevnad av GDPR.
GDPR gratis guide
Vad du behöver veta om samtycke, e-postlönebesked och din rättsliga skyldighet
Företag är lagligt skyldiga att skydda löneinformation för sina kunders/anställdas räkning. Guiden kommer att avslöja in- och utsidan av GDPR:s inverkan på din lönehantering, och belysa de största problemområdena, inklusive att skicka lönebesked via e-post, anställdas samtycke och din juridiska skyldighet.
Ladda ner guide
Brightpay kommer att ställa ut på Accountex den 23-24 maj på ExCel i London, på monter 430.