GDPR – Principer
Integritet och konfidentialitet
Företag har en skyldighet att vidta lämpliga tekniska och organisatoriska säkerhetsåtgärder för att skydda de personuppgifter som företaget behandlar enligt principen om integritet och konfidentialitet.
Principen om integritet och konfidentialitet
Företag måste se till att obehöriga personer inte får tillgång till personuppgifterna som företaget behandlar. Dessutom ska företag se till att personuppgifter varken går förlorade eller blir förstörda. Sådana händelser är klassade om personuppgiftsincidenter enligt GDPR, oavsett om det sker avsiktligt eller oavsiktligt. Om det inträffar en personuppgiftsincident, kan det behöva bli anmält till dataskyddsmyndigheten i landet och i vissa fall även till de registrerade som blivit drabbade.
Företag ska se till att ingen obehörig får tillgång till personuppgifterna. Det är skillnad på obehörigt röjande och obehörig åtkomst som är två viktiga begrepp inom GDPR. Detta utgör en central del av principen om integritet och konfidentialitet.
Kort fakta om GDPR
- Började gälla 2018 i hela EU/EES-området.
- Gäller alla företag som behandlar personuppgifter.
- Kräver att företag kan visa att de följer GDPR genom bland annat att ha lämpliga avtal och dokument.
Ju viktigare personuppgifter, desto högre säkerhetskrav
Beroende på vilka typer av personuppgifter som företaget behandlar kan kraven se annorlunda ut. Ju mer integritetskränkande och känsligare personuppgifterna är, desto högre är säkerhetskraven på företaget. Inom GDPR är det även skillnad på vanliga, integritetskänsliga och känsliga personuppgifter, varav känsliga personuppgifter kräver högst säkerhet.
Tekniska och organisatoriska åtgärder
Företag behöver implementera både tekniska och organisatoriska åtgärder för att skydda personuppgifterna.
Exempel på tekniska säkerhetsåtgärder:
– Kryptering
– Virus-skydd
– Molntjänst med säkerhetskopiering
– Tvåfaktorsautentisering vid inloggning
Exempel på organisatoriska säkerhetsåtgärder:
– Interna rutiner
– Interna utbildningar
– Instruktioner och riktlinjer
– Behörighetsbegränsningar till interna system
Regionstyrelsen i Region Uppsala saknade lämpliga tekniska och organisatoriska åtgärder
Regionstyrelsen i Region Uppsala i Sverige fick betala en sanktionsavgift eftersom de saknade lämpliga tekniska och organisatoriska åtgärder. De skickade känsliga personuppgifter via e-post och informationen var inte krypterad. Däremot var överföringen av e-posten det.
Regionstyrelsen kände till riskerna med behandlingen, men hade inte vidtagit lämpliga åtgärder för att motverka personuppgiftsincidenter. Exempelvis kunde obehöriga ta del av informationen, eftersom det saknades skyddsåtgärder för att förhindra det.
Behöver ni hjälp med avtal?
Digitala Juristerna är en Digital Juristbyrå som arbetar med att skriva och granska avtal till företag på distans. Priserna är alltid fasta och inkluderar samtal med jurist, genomgång av avtalet via dator och telefon samt justeringar i samband med genomgången
Vi arbetar bland annat med att skriva och granska GDPR-relaterade avtal och dokument. Dessutom har vi skapat flera GDPR-paket som innehåller flera viktiga GDPR-relatera avtal och dokument som företag kan behöva för att följa GDPR.
Mer information
Principen om ansvarsskyldighet
Det är företaget som ansvarar för att kunna visa att de följer GDPR, vilket innebär en omvänd bevisbörda. Det går att styrka efterlevnad av GDPR det på flera sätt. Till exempel genom att informera de registrerade om behandlingen skriftligt, upprätta en eller flera registerförteckningar, upprätta interna rutiner och hålla interna utbildningar om behandling av personuppgifter för personalen. Dessutom kan företag i vissa fall behöva utföra en konsekvensbedömning innan behandlingen av personuppgifter blir påbörjad.