GDPR, som många företag behöver följa, reglerar bland annat skydd för personuppgifter i EU och EES-länderna. År 2009 ingicks Lissabonfördraget där det bland annat blev stadgat att individer har rätt till skydd av sina personuppgifter. Det var också då som EU-stadgan blev antagen, som handlar om grundläggande rättigheter (även kallad för rättighetsstadgan). Individer har rätt till sitt privatliv och dessutom var skyddet av personuppgifter vid behandling en nyhet i stadgan.
Skydd för personuppgifter i EU och EES-länderna
GDPR, eller dataskyddsförordningen som det också heter, började gälla den 25 maj 2018. Det är en EU-förordning som gäller inom EU samt EES-området. Företag som behandlar personuppgifter måste följa GDPR och riskerar sanktionsavgifter om det inte sker på korrekt sätt. I Sverige är det IMY (Integritetsskyddsmyndigheten) som är tillsynsmyndighet och de utför granskningar av GDPR-ärenden samt tilldelar sanktionsavgifter. Dessa kan uppgå till mångmiljonbelopp. Däremot utfärdar IMY inte sanktionsavgifter för alla överträdelser. I vissa fall, när det är mindre allvarligt, kan de istället utfärda en reprimand. En reprimand är som en anmärkning eller tillrättavisning.
Behandla personuppgifter i tredje land
När ett företag behandlar en personuppgift utanför EU/EES-länderna, blir de överförda till ett så kallat ”tredje land”. Reglerna är då striktare och man ska helst undvika att göra det. Ett vanligt exempel när ett företag överför personuppgifter till tredje land är vid mejlkonversationer med personer i exempelvis USA, Australien, England eller annat tredje land. Företag bör vara försiktiga när de lagrar till exempel personuppgifter i servrar som är i ett tredje land, eftersom sannolikheten är stor att de inte uppfyller säkerhetskraven i enlighet med GDPR. Detta eftersom GDPR eller motsvarande regelverk inte gäller i många delar av världen.
