Företag måste kunna bevisa att de följer GDPR (dataskyddsförordningen) och det kan uppstå stora ekonomiska konsekvenser för företag som inte följer GDPR. Företag måste bland annat förklara vilka personuppgifter de behandlar och med vilket lagligt stöd behandlingen sker. Därför ska företag upprätta en integritetspolicy, även kallad för dataskyddspolicy eller personuppgiftspolicy.
Dessutom är det bra att upprätta olika interna rutiner och loggböcker, eftersom det är ett sätt att styrka att företaget följer GDPR. I vissa fall kan företag även behöva upprätta ett personuppgiftsbiträdesavtal. Detta gäller om företaget delar personuppgifter med någon annan, exempelvis en redovisningskonsult, webbutvecklare m.fl.
GDPR började gälla i EU/EES-länderna 25 maj 2018 och ersatte personuppgiftslagen som tidigare gällde i Sverige. GDPR ställer högre krav på företag med syfte att reglera hur företag, myndigheter och organisationer behandlar och lagrar personuppgifter från enskilda.
Konsekvenser för företag som inte följer GDPR
Ett företag som inte följer GDPR, kan få stora ekonomiska konsekvenser. Beloppet på sanktionsavgiften beror på vad företaget har gjort samt hur stort företaget är. I värsta fall kan sanktionsavgiften uppgå till 4 % av den totala årsomsättningen eller 20 miljoner euro (det alternativ som är högst). Om överträdelsen inte är allvarlig, kan det istället uppgå till 2 % av årsomsättningen eller 10 miljoner euro. Beloppet för myndigheter som inte följer GDPR är betydligt lägre och kan högst uppgå till 10 miljoner kronor.
IMY (Integritetsskyddsmyndigheten) kan välja att utföra en tillsyn, men delar inte ut sanktionsavgifter för varje överträdelse. I vissa fall kan de istället utfärda en så kallad reprimand. En reprimand är en form av anmärkning eller tillrättavisning.
Det finns ett flertal saker som företag måste tänka på gällande GDPR. En bra utgångspunkt är att lagra så få personuppgifter som möjligt. Dessutom ska personuppgifter bli raderade när de inte längre är nödvändiga. Detsamma gäller när personuppgifterna inte längre behövs för det syfte de blev insamlade för. Det är även kallat för gallring av personuppgifter.
För att få behandla personuppgifter måste ett företag ha en rättslig grund såsom avtal eller samtycke. Utöver det måste företaget även följa dataskyddsprinciperna. Om en person vill få sina personuppgifter raderade, ska företaget göra det utan onödigt dröjsmål.
