Om ditt företag använder eller innehar databaser, e-postmeddelanden eller spreadsheets med kundinformation, kommer Data Protection Act 1998 (DPA) sannolikt att gälla, eftersom denna information vanligtvis används eller "bearbetas" på något sätt.

DPA administreras av Informationskommissionärens kontor och innehar alla registreringar som företag har gjort enligt lagen.

Böter upp till 500 000 £

Om du misslyckas med att följa lagen så kan du möta stora straff. Underlåtenhet att följa DPA kan innebära en böter på upp till 5 000 kr. Även om det i allvarliga överträdelser av lagen kan ICO böja (utan domstolsansökan) 500 000 £.

I huvudsak tvingar DPA din verksamhet att:

  • Samla bara in information som du behöver för ett visst ändamål.
  • Håll den insamlade informationen säker.
  • Se till att informationen i din verksamhet är relevant och aktuell.
  • Uppgifterna måste bara vara vad din verksamhet behöver, och informationen bör endast hållas för den minsta tiden din verksamhet behöver.
  • Den som din verksamhet har information om har rätt att se denna information när som helst.

Observera att DPA gäller levande individer som du har papper och / eller elektroniska dokument om. Informationen kan innehålla namn, födelsedatum och adress. Men annan information omfattas också av lagen. En fullständig definition finns på ICO: s webbplats.

Grundläggande registrering är £ 35. Var medveten om att vissa falska registreringsföretag kan försöka ladda mer. Undvik dessa och registrera dig direkt med ICO.

Key DPA definitioner

Det är viktigt att ditt företag förstår vad "personuppgifter" betyder inom ramen för DPA för att ditt företag ska kunna avgöra om det behöver registreras. Enligt DPA betyder personuppgifter information som:

  1. Behandlas med hjälp av utrustning som automatiskt fungerar som svar på instruktionerna för detta ändamål.
  2. Registreras med avsikt att det ska behandlas med hjälp av sådan utrustning.
  3. Inspelas som en del av ett relevant arkivsystem eller med avsikt att det ska ingå i ett relevant arkivsystem.

Avsnitten ett och två ovan gör det klart att information som hålls på datorn eller är avsedd att hållas på datorn, är data. Men data som registreras på papper ingår också i lagen om du tänker lägga den på datorn vid ett senare tillfälle.

Det finns ett antal undantag till DPA som ditt företag bör vara medveten om. Lagen gäller inte för:

  • Organisationer som behandlar personuppgifter endast för a) personaladministration (inklusive löneavgift) b) reklam, marknadsföring och PR (i samband med egen verksamhet)
  • Konton och poster.
  • Vissa ideella organisationer.
  • Organisationer som behandlar personuppgifter endast för att upprätthålla ett offentligt register.
  • Organisationer som inte behandlar personuppgifter på datorn.

Åtgärder att vidta

Mycket av DPA är commonsense, men ditt företag bör se till att det fullt ut förstår de centrala kraven i lagen och sätter in system för att säkerställa att kraven uppfylls både online och offline - DPA har flera regler om fysiskt och säkert skydd av data, både i affärslokalerna och när data skickas ut ur verksamheten.

ICO har en träningschecklista som innehåller följande råd om att hålla personuppgifter säker på att din personal ska följa:

  • Håll lösenord säkra - Byt regelbundet, ingen delning.
  • Låsa / logga av datorer när de är borta från sina skrivbord.
  • Kassera säkert konfidentiellt pappersavfall genom att stryka.
  • Förhindra virusattacker genom att ta hand om när du öppnar e-post och bilagor eller besöker nya webbplatser.
  • Arbeta på ett tydligt skrivbordsbaserat sätt - genom att säkert lagra personlig information om hårddisk när den inte används.
  • Besökare ska vara inloggade och uteslutna, eller åtföljda i områden som normalt är begränsade till personal.
  • Positionering av dataskärmar bort från windows för att förhindra oavsiktlig avslöjande av personlig information.
  • Kryptera personlig information som tas ut från kontoret om det skulle orsaka skada eller nöd om det förloras eller stulits.
  • Håll säkerhetskopior av information.

DPA är inte utformad för att införa massor av restriktioner för ditt företag, men för att säkerställa att personlig information som din verksamhet håller om dina kunder, hanteras korrekt och är säker. Det är viktigt att ditt företag registrerar sig så fort det kan om DPA gäller.

ICO: s webbplats innehåller dessutom all information du behöver för att ditt företag ska kunna avgöra om registrering behövs, inklusive fullständiga definitioner av vilka uppgifter lagen omfattar.

Du kan också kontakta ICO direkt på 0303 123 1113 eller 01625 545745, som är tillgänglig mellan 09:00 och 17:00, måndag till fredag.