Gdpr (Vem bär dataskyddsansvaret)[/Mod]

Hej, läser att EU:s nya direktiv för datasäkerhet kan innebära upp till $25 milj i skadestånd för företag som inte rapporterar dataintrång till myndigheter inom 3 dygn.

Hur fungerar detta i praktiken?

Om t.ex. en morgontidning hanterar mina privata uppgifter via prenumeration, som sedan läcker ut via intrång - hamnar då ansvaret hos publikationen? Och om de inte märker av intrånget, gäller samma ansvar?
För mig låter detta som ett sätt att sabotera små/medelstora företag, men är inte kunnig i det tekniska.

Ursäkta på förhand om detta frågats förut, försökte söka.

Nej, 2miljoner euro är det minimala maxvärdet. Det går upp till 4% av koncernens totala omsättning.

Ja, i ditt exempel bär publikationen ansvaret. Ja, även om inte de själva märker av det.

IT-säkerhet: allmänt --> Juridik
/Moderator

Skadeståndet/böter betalas procentuellt och är beroende av företagets omsättning just för att det ska bli propogenerligt.

Summan som du skriver är det maximala taket.

Nej, maxtaket är det högsta av 4 % av koncernens omsättning eller 20 mEUR. Om 4 % av koncernens omsättning är högre än 20 mEUR kan sanktionsavgiften alltså bli långt högre än 20 mEUR.

Låter fullständigt orimligt om detta ska gälla alla bolag som hanterar personuppgifter.

Hur ska t.ex. en rörmokare som är på semester, gardera sig mot ett dataintrång där det läcker ut uppgifter om rörmokaren själv?
Eller ett nätforum som har 100 aktiva användare?

Känns dock som ett utmärkt tillfälle att sänka Aftonbladet

Jag ser inte hur du kan tillämpa GDPR på varken rörmokaren eller en tidning som AB. Ingendera behandlar personuppgifter i automatiska system.

Sedan finns det förstärkta skyddet redan för företag som går under SoL eller HSL vilket regleras i patientdatalagen och patientsäkerhetslagen. Du kan dra samma argument där; hur kan en liten klinik på två anställda vara säkra på att deras patienters journaler inte hamnar på vift?

Förslagsvis är rörmokaren garanterad via sitt val av serverleverantör för sin hemsida.
Har han servern hemma på sin egen dator, så kan han helt enkelt garantera sin osårbarhet för hackers på semestern genom att helt enkelt stänga av den (om han nu nödvändigtvis väljer att ha sina kunduppgifter tillgängliga online vill säga).

Finns tekniska fastighetsförvaltare där man måste registrera sig med personuppgifter för att kunna lägga felärende. Detta blir efterhand ett register som omfattas av GDPR och företaget kan stänga ner om det sker en incident där de riskerar böterna.

Många småföretag fattar inte vad de håller på med och vilken påverkan det kommer ha efter den 25 maj, medan större aktörer har betydligt bättre koll på GDPR.