Alla företag som inom sin verksamhet behandlar personuppgifter från tredje part är skyldiga att följa den organiska lagen om dataskydd och garanti för digitala rättigheter. (LOPDGDD). Det vill säga alla egenföretagare, företag, organisationer, enheter och offentliga organ som utför all behandling av personuppgifter i utvecklingen av sin verksamhet, både fysiska och digitala verksamheter.
Det är dock inte ovanligt att egenföretagare gör det vet inte av vilka skäl de kan sanktioneras och böterna som de kan bli utsatta för om de begår överträdelser inom detta område, ”vilket kan vara mycket betydande”, som förklaras för detta medium av Ático 34 juridiska kontor, experter på dataskydd, regelefterlevnad och immateriell egendom. Specifikt kan de överstiga 300 000 euro.
Så, beroende vilken typ av data som företag bearbetar -Ett litet företag som bara behandlar data om sina anställda och kunder är inte detsamma som ett små och medelstora företag som är dedikerade till att skicka reklam- och av dess volymmåste de uppfylla vissa krav mer eller mindre uttömmande.
De allvarligaste sanktionerna för företag kan överstiga 300 000 euro
Beroende på deras svårighetsgrad är sanktionerna uppdelade i överträdelser mild, allvarlig och mycket allvarlig.
De som övervägdes väldigt seriös -såsom brott mot de grundläggande principerna för dataskydd, eller intrång i eller hindrande av utövandet av datarättigheter. Tillgång, rättelse, radering, begränsning av behandling, portabilitet och opposition-, är sanktionerade med en minimiböter på 300 000 euro. Dessa sanktioner kan höjas till maximal grad, till det högsta beloppet mellan 20 000 000 euro och 4 % av den totala årliga globala omsättningen föregående räkenskapsår.
Överträdelser anses som allvarlig-såsom att inte vidta lämpliga tekniska och organisatoriska åtgärder för att tillämpa dataskydd från designen, inklusive nödvändiga garantier i behandlingen- överväga böter som sträcker sig, åtminstone från 40 001 euro till 300 000 euro och, som mestdet högsta beloppet mellan 10 000 000 euro och 2 % av den totala årliga globala omsättningen föregående räkenskapsår.
Till sist, kränkningarna mild-som kanske inte har ett fullständigt register över bearbetningsaktiviteter eller meddelandet om ett säkerhetsbrott som är ofullständigt- De kommer att få en straffavgift på högst 40 000 euro, utan fastställt minimum.
Av vilka skäl kan dataskyddslagen bestraffa egenföretagare?
LOPDGDD modifierades senast i maj 2023. Förändringen förde med sig små innovationer, som t.ex. ökningen från nio till tolv månader av den maximala varaktigheten av sanktionsförfarandeoch från tolv till 18 månader tidigare åtgärder av undersökning.
Såsom beskrivs i Ático 34 kräver både förordningen (RGPD) och statens organiska lag (LOPDGDD) efterlevnad av en rad skyldigheter gällande dataskydd. Dessa berör till varje företag eller företag som, oavsett storlek eller omsättning, behandla personuppgifter inom utvecklingen av sin verksamhet”förstå dem från grundläggande data som namn, telefonnummer, e-post, bankkonton, till mer känslig kategoridata, oavsett om den är egenföretagare eller företag, personuppgiftsansvarig eller databehandlare.”
Det bör noteras att, när det gäller egenföretagare och små och medelstora företag, de fastställda kraven de kan vara mindre hårda än de som stora företag måste följa, ”främst pga behandlingen av din datavolym antas vara mindre”, förtydligade de från kontoret.
Bland de skyldigheter som måste uppfyllas finns alltså i stort sett:
- Informera berörda parter om behandlingen av deras uppgifter.
- Bestäm en rättslig grund som legitimerar behandlingen.
- Vidta tekniska och organisatoriska åtgärder som garanterar konfidentialitet, integritet och tillgänglighet för de personuppgifter du hanterar.
- Följ tidsfristerna för bevarande.
- Meddela säkerhetsöverträdelser till den spanska dataskyddsmyndigheten (AEPD).
- Håll ett register över behandlingsaktiviteter.
Som de påpekade upprättar både den allmänna dataskyddsförordningen och LOPDGDD ett sanktionssystem beroende på svårighetsgrad som kan hänföras till omständigheterna kring underlåtenheten att följa föreskrifterna.
De skulle till exempel bli föremål för sanktioner brott mot tystnadsplikten eller bryter mot bestämmelserna om principerna för behandling, förhindra eller hindra utövandet av rättighetermisslyckas med att följa ett krav från AEPD, underlåtenhet att vidta lämpliga tekniska och organisatoriska åtgärder för databehandling, inte meddela AEPD om ett säkerhetsintrång antingen inte kassera av en Registrering av behandlingsaktiviteter komplett.
Specifikt, bland de vanligaste klagomålen och de mest sanktionerade förfarandena Följande finns, tillhandahållet av den spanska dataskyddsmyndigheten (senaste data från 2022):
Vilken institution eller vilket organ ansvarar för att sanktionera företag för bristande efterlevnad?
I fall av bristande efterlevnad av dataskyddsbestämmelserna skulle det organ som ansvarar för att införa sanktioner i denna fråga vara den nationella dataskyddsmyndigheten som, i Spaniens fall, Detta är den spanska dataskyddsmyndigheten. ”Detta är den enhet som ansvarar för Be om uppfyllelsen av dataskyddsbestämmelser, samt kontrollera deras tillämpning”, förklarade de från kontoret.
Kan de anställda i ett företag, om det behövs, rapportera dessa dåliga metoder i sitt företag?
Som förklarat från Ático34, JaVarje person som har bevis eller indikationer som kan bevisa ett intrång från ditt företags sida Du kan rapportera eller lämna in ett krav till AEPD vid dess elektroniska huvudkontor.
