Principen om ansvarsskyldighet innebär bland annat att företag måste kunna visa att de följer GDPR. Med andra ord behöver inte de registrerade eller IMY visa att företaget bryter mot GDPR.
Företag måste kunna visa att de följer GDPR
Det finns flera sätt för företag att kunna visa att de följer de grundläggande principerna som är sju stycken i GDPR. Exempelvis:
- Informera de registrerade om behandlingen på ett tydligt sätt.
- Om den rättsliga grunden för behandlingen är samtycke, måste företaget kunna visa att de har inhämtat ett giltigt samtycke.
- Upprätta interna rutiner för behandlingen av personuppgifter.
- Upprätta en registerförteckning där det bland annat framgår vilka personuppgifter företaget behandlar.
- Vidta lämpliga organisatoriska och tekniska säkerhetsåtgärder för att skydda personuppgifterna.
- Implementera åtgärder och processer för att kunna tillgodose de rättigheter som registrerade har enligt GDPR.
- Om det är nödvändigt, kan företaget i vissa fall behöva göra en konsekvensbedömning och eventuellt begära ett förhandssamråd med IMY innan behandlingen.
De sju grundläggande principerna i GDPR är:
- Laglighet, korrekthet och öppenhet
- Ändamålsbegränsning
- Uppgiftsminimering
- Riktighet
- Lagringsminimering
- Integritet och konfidentialitet
- Ansvarsskyldighet
Konsekvenser för företag som inte följer GDPR
GDPR är ett omfattande regelverk som började gälla år 2018. Det är en EU-förordning, vilket innebär att det gäller i hela EU. Om ett företag bryter mot GDPR, kan det resultera i stora ekonomiska konsekvenser. Den högsta sanktionsavgiften som IMY kan utfärda är 20 miljoner euro eller 4 % av årsomsättningen (det högsta beloppet av alternativen). Till exempel fick ett företag som inte hade vidtagit tillräckliga säkerhetsåtgärder betala över 180 miljoner pund i sanktionsavgift.