Persondataforordningen, også kendt som GDPR (General Data Protection Regulation), indeholder mange krav til, hvordan virksomheden skal beskytte og behandle persondata. Disse krav skal i fremtiden udmøntes i processer og politikker, der skal fungere i virksomheden på tværs af IT, jura, de enkelte afdelinger og ledelsen i virksomheden.

Forordningen udvider virkeområdet for EUs lovgivning om personoplysninger ved yderligere at dække alle udenlandske selskaber som behandler data om borgere i EU. Ved at skabe et fælles regelværk i EU er det hensigten at det skal blive enklere for virksomheder at følge reglerne. Der lægges op til en streng databeskyttelse, og brud kan medføre store bøder på op til 4% af virksomhedens samlede omsætning.

Der er mere og mere fokus på den nye/opdaterede persondataforordning da bøderne kan blive ret store samt den træder i kraft 25. maj 2018. Den afløser databeskyttelsesdirektivet, der er gennemført via persondataloven. Forordningen får direkte virkning i medlemslandene, og kræver derfor – i modsætning til et direktiv – ikke national lovgivning for umiddelbart at være gældende. Danmark skal som EU-medlem følge forordningen.

Persondataforordningen bygger på samme princip, som vi kender fra Persondataloven, nemlig princippet for god databehandling: Det betyder, at:

• der skal være tale om lovlig, retfærdig og gennemsigtig behandling.
• formålet med behandlingen skal være udtrykkeligt angivet og legitimt. Senere må behandlingen ikke være uforeneligt med det oprindelige formål.
• personoplysningerne, skal være tilstrækkelige, relevante og begrænset til det nødvendige.
• personoplysningerne skal være korrekte og om nødvendigt ajourførte.
• personoplysninger må kun opbevares, så længe det er nødvendigt.
• den dataansvarlige er ansvarlig for behandlingen.

Yderligere information

• http://eur-lex.europa.eu/legal-content/DA/TXT/PDF/?uri=CELEX:32016R0679&from=DA
• https://da.wikipedia.org/wiki/Persondataforordningen