Först kom GDPR – sedan kom Schrems II-domen
Europeiska personuppgifter har sedan den 25 maj 2018 mött helt nya säkerhetskrav i och med GDPR:s intåg.
Drygt två år senare, den 16 juli 2020, kom Schrems II-domen vilken slog fast att Privacy Shield-avtalet mellan EU och USA inte ger tillräckligt skydd vid överföringar av personuppgifter till just USA.
Den slog med andra ord fast att tredjelandsöverföringar av persondata som huvudregel är otillåtna.
Har ni koll på datan?
Enligt Integritetsskyddsmyndigheten (IMY) måste alla organisationer som hanterar personuppgifter följa GDPR (Dataskyddsförordningen). Det innebär bland annat att din organisation måste följa de grundläggande principerna, informera registrerade om hur deras personuppgifter behandlas och se till att behandlingen har en rättslig grund.
Vi får ofta frågor om vad som är okej och inte – vilka krav som ställs och åtgärder som krävs för olika system och applikationer. Vad som är rätt eller fel är inte alltid glasklart och det skiljer sig oftast från fall till fall.
Hög tid att få koll på datan
En sak är i alla fall säker – mycket har förändrats senaste tiden när det kommer till hantering av personuppgifter. I och med att både GDPR och Schrems II-domen är relativt nya så händer det fortsatt mycket på området.
IT-juridik är minst sagt ett område i ständig förändring. Har man därför inte koll på sin data än så är det på tiden att få det. För att slippa eventuella negativa konsekvenser.
Vad händer om man inte agerar?
Om man inte agerar och följer rådande lagar kan det leda till sanktioner. Det är IMY som ansvarar för att se till att GDPR efterlevs och således de som har befogenhet att sanktionera organisationer och bolag.
Sanktioner på upp till 200 MSEK
Det finns i huvudsak fyra primära typer av sanktioner som IMY befogar över. Dessa är varningar, reprimander, förelägganden/begränsningar/förbud samt administrativa sanktionsavgifter. Du kan läsa mer om dessa på IMY:s hemsida. Generellt handlar det om avgifter på 4 % av ett bolags globala omsättning, dock maximalt 20 MEUR (cirka 200 MSEK).
Följer ni lagen? Ta reda på det med en GDPR Riskanalys
Vi hjälper er ta reda på vad som gäller för just er och era system. Några exempel på vad en riskanalys kan innehålla:
- Analys av tredjelandsöverföring: TIA-processen
- Kartläggning av vilka data som behandlas i era system
- Kartläggning av externa integrationer
- Behörigheter & åtkomster till systemet
- RSA – Risk- & sårbarhetsanalys (utifrån MSB:s riktlinjer)
- Informationsklassning (utifrån KLASSA:s riktlinjer)
- Med mera, beroende på verksamhet och önskemål
- Åtgärdsförslag
Kontakta oss så berättar vi mer
Är du osäker på huruvida ni lever upp till GDPR-kraven och önskar göra en RSA, informationsklassning, kartläggning av data eller liknande? Hör av dig via formuläret nedan så berättar vi hur en GDPR Riskanalys kan hjälpa just er.
