Säkerhetskraven enligt GDPR

Jag har en fråga om säkerhetskraven enligt GDPR. Som jag har förstått är det inte tillåtet att skicka okrypterade mejl med exempelvis lönespecifikationer som innehåller uppgifter om hälsotillstånd. Vilken paragraf kan jag läsa om de gällande säkerhetskraven? 

Säkerhetskraven enligt GDPR

Svar: GDPR gäller i hela EU och trädde i kraft i maj 2018. Alla företag måste uppfylla säkerhetskraven vid all behandling av personuppgifter. Konsekvenserna för företag som inte uppfyller kraven, är höga bötesbelopp, upp till 20 miljoner Euro eller 4 procent av bolagets globala omsättning. För myndigheter är bötesbeloppet max 10 miljoner kronor. Straffet vid brott mot GDPR varierar även beroende på företagets storlek.

I artikel 32 i dataskyddsförordningen hittar du reglerna om säkerhetskraven enligt GDPR vid behandling av personuppgifter.

Det framgår av artikeln att personuppgiftsansvariga ska vidta tekniska och organisatoriska åtgärder för att säkerställa en lämplig säkerhetsnivå. ”Lämplig säkerhetsnivå” innebär att säkerhetsnivån måste vara skälig och rimlig i förhållandet till arten av personuppgiften.

Exempel på en teknisk säkerhetsåtgärd, är att lösenordsskydda samtliga arbetsmobiler, arbetsdatorer, interna system osv. Installation av anti-virus program är också ett exempel på en teknisk säkerhetsåtgärd, som kan införas för att skydda mot intrång, förluster m.m. Företag bör även upprätta en intern rutin för lösenordsbyten av interna system, som bör ske minst årligen.

Exempel på en organisatorisk säkerhetsåtgärd, kan vara att upprätta interna arbetssätt avseende olika skyddsåtgärder och se till att enbart behörig personal har tillgång till personuppgifter i den mån det är nödvändigt för att utföra arbetsuppgifter.

Ju känsligare en personuppgift är, desto högre är säkerhetskraven. Lönespecifikationer innehållet ofta känsliga personuppgifter, såsom uppgifter om den anställda personens hälsa och sjukfrånvaro. Av en anledningen är det inte längre tillåtet att skicka sådana lönespecifikationer via okrypterad mejl.

Istället kan du se över andra alternativ, exempelvis löneappar eller andra sådana löneprogram som uppnår säkerhetskraven enligt artikel 32 GDPR. Om du vill fördjupa dig inom säkerhetskraven, rekommenderar vi dig att läsa hela artikel 32 i GDPR. På hemsidan www.AvtalGDPR.se som är en del av Digitala Juristerna kan du också hitta mer information om organisatoriska och tekniska säkerhetsåtgärder samt annan viktig information om GDPR.

Vi på Digitala Juristerna arbetar enbart med att skriva och granska avtal till företag och företagare på distans till fasta priser

Kontakta oss