GDPR står for General Data Protection Regulation. Det er en omfattende lov om databeskyttelse som ble implementert 25. mai 2018 for å regulere hvordan selskaper og organisasjoner håndterer personopplysninger til enkeltpersoner innenfor Den europeiske union (EU) og Det europeiske økonomiske samarbeidsområde (EEA). Hovedmålet med GDPR er å gi enkeltpersoner kontroll over sine personopplysninger og forenkle det regulatoriske miljøet for bedrifter som opererer innenfor EU og EEA.
GDPR inkluderer flere nøkkelbegreper og krav som organisasjoner må overholde for å sikre samsvar. Noen av disse inkluderer:
Under GDPR kan persondata kun behandles lovlig, transparent og for spesifiserte formål. Organisasjoner må ha et lovlig grunnlag for å behandle personopplysninger, for eksempel nødvendigheten av å oppfylle en kontrakt, etterlevelse av en juridisk forpliktelse, beskyttelse av vitale interesser, samtykke, utførelse av en oppgave utført i allmennhetens interesse eller i utøvelse av offentlig myndighet, eller berettigede interesser forfulgt av dataansvarlig eller en tredjepart.
Samtykke er et avgjørende aspekt ved GDPR. Organisasjoner er pålagt å innhente klart og eksplisitt samtykke fra enkeltpersoner før innsamling av personopplysninger. Samtykke må være frivillig gitt, spesifikt, informert og utvetydig. Enkeltpersoner må få klar informasjon om formålet med databehandlingen, kategoriene av persondata som er involvert, mottakerne av dataene, oppbevaringsperioden, og deres rettigheter angående dataene deres. Det skal være like enkelt for enkeltpersoner å trekke tilbake sitt samtykke som det er å gi det.
GDPR gir enkeltpersoner ulike rettigheter angående deres personopplysninger. Noen av disse rettighetene inkluderer:
GDPR krever at organisasjoner varsler tilsynsmyndigheter om databrudd uten unødig forsinkelse og, der det er mulig, innen 72 timer etter å ha blitt oppmerksom på bruddet. Hvis bruddet sannsynligvis vil medføre en høy risiko for enkeltpersoners rettigheter og friheter, må organisasjonen også direkte varsle de berørte enkeltpersonene.
Organisasjoner som faller inn under GDPRs omfang, må sikre samsvar med dens bestemmelser for å unngå bøter og potensiell omdømmeskade. Her er noen steg organisasjoner kan ta for å sikre GDPR-samsvar:
Siden innføringen har GDPR hatt en betydelig innvirkning på datavern og -beskyttelse. Reglene har inspirert andre land og regioner til å innføre lignende lover, som California Consumer Privacy Act (CCPA) i USA.
En av de pågående kontroversene rundt GDPR er hvordan den håndheves og bøtene for manglende samsvar. GDPR gir tilsynsmyndigheter muligheten til å utstede bøter på opptil €20 millioner eller 4 % av den globale årlige omsetningen fra forrige finansår, avhengig av hva som er høyere, for alvorlige brudd. Noen kritikere hevder imidlertid at bøtene har blitt uforholdsmessig anvendt, spesielt mot mindre bedrifter.
Et annet debattområde er avveiingen mellom databeskyttelse og innovasjon. Noen hevder at GDPR hemmer innovasjon og pålegger belastende samsvarskrav på bedrifter, mens andre mener det er nødvendig for å beskytte enkeltpersoners grunnleggende rettigheter og opprettholde tillit i den digitale økonomien.