You are currently viewing Konsekvenser för företag som inte följer GDPR

Konsekvenser för företag som inte följer GDPR

Företag måste kunna bevisa att de följer GDPR (dataskyddsförordningen) och det kan uppstå stora ekonomiska konsekvenser för företag som inte följer GDPR. Företag måste bland annat förklara vilka personuppgifter de behandlar och med vilket lagligt stöd behandlingen sker. Därför ska företag upprätta en integritetspolicy, även kallad för dataskyddspolicy.

Dessutom är det bra att upprätta interna rutiner, loggbok och registerförteckning, eftersom det är ett sätt att styrka att företaget följer GDPR. I vissa fall kan företag även behöva upprätta ett personuppgiftsbiträdesavtal. Detta gäller om företaget delar personuppgifter med någon annan, exempelvis en redovisningskonsult, webbutvecklare m.fl.

GDPR började gälla i EU/EES-länderna 25 maj 2018 och ersatte personuppgiftslagen som tidigare gällde i Sverige. GDPR ställer högre krav på företag med syfte att reglera hur företag, myndigheter och organisationer behandlar och lagrar personuppgifter från enskilda. 

Konsekvenser för företag som inte följer GDPR 

Ett företag som inte följer GDPR, kan få stora ekonomiska konsekvenser. Beloppet på sanktionsavgiften beror på vad företaget har gjort samt hur stort företaget är. I värsta fall kan sanktionsavgiften uppgå till 4 % av den totala årsomsättningen eller 20 miljoner euro (det som är högst). Om överträdelsen inte är allvarlig, kan det istället uppgå till 2 % av årsomsättningen eller 10 miljoner euro. Beloppet för myndigheter som inte följer GDPR är betydligt lägre och kan högst uppgå till 10 miljoner kronor. 

IMY (Integritetsskyddsmyndigheten) delar inte ut sanktionsavgifter för varje liten överträdelse. I vissa fall kan de istället utfärda en så kallad reprimand. En reprimand är en form av anmärkning/tillrättavisning.

Det finns ett flertal saker som företag måste tänka på gällande GDPR. En bra utgångspunkt är att lagra så få personuppgifter som möjligt. Dessutom ska personuppgifter bli raderade när de inte längre är nödvändiga. Detsamma gäller när personuppgifterna inte längre behövs för det syfte de blev insamlade för. Det är även kallat för gallring av personuppgifter.

För att få behandla personuppgifter måste ett företag ha en rättslig grund såsom avtal eller samtycke. Utöver det måste företaget även följa dataskyddsprinciperna. Om en person vill få sina personuppgifter raderade, ska företaget göra det utan onödigt dröjsmål. 

Mer information

Här kan du läsa mer om: 

Sammanställning av nyheter, vanliga frågor och guider om GDPR.

Sammanfattning av GDPR för företag och företagare.

Fyra grupper av integritetskänsliga uppgifter.

Fysisk och juridisk person kan vara personuppgiftsansvarig.