Dataskyddsförordningen GDPR gäller alla företag som är verksamma inom EU och syftet med lagen är att säkerställa att personuppgiftshantering sker på sådant sätt att medborgarnas integritet skyddas. Om ett företag eller myndighet bryter mot reglerna i GDPR riskerar de att få sanktionsavgift. Ansvaret för personuppgiftshanteringen ligger hos företagen och gäller såväl kunders, anställdas och leverantörers personuppgifter.
Grundläggande är att den registrerade har gett sin tillåtelse för behandling av personuppgifterna. Hanteringen av personuppgifter ska sedan ske enligt principerna i dataskyddsförordningen. Det innebär bland annat att man som personuppgiftsansvarig:
- måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
- bara får samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
- inte ska behandla fler personuppgifter än vad som behövs för ändamålen
- ska se till att personuppgifterna är riktiga
- ska radera personuppgifterna när de inte längre behövs
- ska skydda personuppgifterna, till exempel så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
- ska kunna visa att ni lever upp till dataskyddsförordningen och hur ni gör det.
Molntjänster och personuppgiftshantering
När det gäller molntjänster är det punkten om att skydda personuppgifter, så att inte obehöriga får tillgång till dem, som är särskilt intressant. Med amerikanska lagar som CLOUD Act, som strider mot GDPR, blir det omöjligt att garantera integriteten och man riskerar därmed att bryta mot GDPR genom att hantera personuppgifter i utländska molntjänster.
Många är omedvetna om att deras personuppgiftshantering kan bryta mot lagen. Man tänker inte på att de filer man arbetar i dagligen kan innehålla känslig data, men faktum är att till exempel kundregister, lönespecifikationer eller anteckningar från utvecklingssamtal kan vara olämpliga att hantera i utländska molntjänster. Vi har flera kunder som kommit till oss med ett behov av att kunna hantera känslig data på ett regelrätt sätt, där vi hjälpt dem med en GDPR-säker lösning.
Axel Hermansen, Försäljningschef, Storegate AB
Hur stort kan beloppet för sanktionsavgift bli?
Det är Integritetsskyddsmyndigheten (IMY) som kontrollerar att GDPR följs och beslutar om påföljder vid överträdelser. Sanktionsavgiften varierar beroende på hur allvarlig överträdelsen är. Maxbeloppet på sanktionsavgift för företag är 20 miljoner euro för en allvarlig överträdelse, eller 4% av den globala omsättningen, beroende på vilket belopp som är högst. För en något mindre allvarlig överträdelse ligger maxbeloppet på 10 miljoner euro eller 2% av den globala omsättningen beroende på vilket belopp som blir är högst. För myndigheter ligger maxbeloppet på 10 miljoner kronor.
Beloppet påverkas även av hur själva överträdelsen ser ut och om man har brutit mot en eller flera bestämmelser i GDPR. IMY ser till omständigheter i varje enskilt fall. Tanken är att sanktionsavgifterna ska vara proportionella i förhållande till företagets omsättning och verka avskräckande.