Grundläggande principer
- All behandling av personuppgifter ska vara laglig, korrekt och ske på ett öppet sätt.
- Personuppgifter får endast samlas in för specifika, uttryckligt angivna och berättigade ändamål.
- Uppgifterna ska vara adekvata, relevanta och inte för omfattande i förhållande till ändamålen.
- Personuppgifter får inte lagras längre än nödvändigt.
Rättslig grund
All behandling av personuppgifter måste ha en rättslig grund, till exempel:
- Samtycke från den registrerade
- Nödvändig för att fullgöra ett avtal
- Rättslig förpliktelse
- Skydda vitala intressen
- Utföra en uppgift av allmänt intresse
- Intresseavvägning
De registrerades rättigheter
GDPR stärker individernas rättigheter, inklusive:
- Rätt till information om hur deras uppgifter behandlas
- Rätt till tillgång till sina personuppgifter
- Rätt till rättelse av felaktiga uppgifter
- Rätt till radering ("rätten att bli bortglömd")
- Rätt till dataportabilitet
Organisatoriska krav
- Företag måste ha rutiner för att säkerställa dataskydd och integritet.
- Personuppgiftsincidenter måste rapporteras till tillsynsmyndigheten inom 72 timmar.
- Företag är ansvariga för att deras leverantörer följer GDPR.
- Vissa organisationer måste utse ett dataskyddsombud.
Konsekvenser vid överträdelser
Företag som bryter mot GDPR riskerar:
- Böter på upp till 20 miljoner euro
- 4 procent av den globala årsomsättningen, beroende på vilket belopp som är högst
GDPR gäller för alla företag som hanterar personuppgifter om personer inom EU, oavsett var företaget är baserat.