Ambitionerne bag databeskyttelsesforordningen er at styrke privatpersoners grundlæggende rettigheder om behandling af persondata. Formålet er fremme organisationers og virksomheders beskyttelse af persondata og at opstille mere klare retningslinjer for virksomheder og organisationer ift. det digitale indre marked. For virksomheder skal forordningen skabe klarere regler for brug af personoplysninger som forretningsdrivende. Som en fælles EU-lov har databeskyttelsesforordningen til hensigt at gøre EU-landenes håndtering af databeskyttelsesreglerne ensartet og fjerne unødvendig administration på tværs af landene.
Forordningen handler om beskyttelse af persondata, som defineres som ”Enhver information, der kan relateres til en identificeret person, eller data der direkte eller indirekte kan identificere en person”. Der skelnes typisk mellem tre kategorier af persondata:
Databeskyttelsesforordningen gælder for alle virksomheder, myndigheder, foreninger mv., der behandler persondata. Som virksomhed eller organisation er man fx omfattet hvis man har:
Alle danskere har som EU-borgere en række rettigheder, når virksomheder eller myndigheder behandler personoplysninger. Det kan fx være, hvis en virksomhed indsamler, registrerer, videregiver eller sletter personoplysninger om kunder eller ansatte. Med de fælleseuropæiske regler har EU-borgere de samme databeskyttelsesrettigheder inden for hele EU.
I Danmark er Datatilsynet den uafhængige myndighed, der fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet publicerer desuden vejledning til overholdelse af kravene i lovgivningen.
Link til Datatilsynets hjemmeside.
Der er udarbejdet standarder, der skal hjælpe organisationer og virksomheder med koblingen mellem informationssikkerhed og privatlivsbeskyttelse og hermed også koblingen til GDPR.
Standarden ISO/IEC 27701 Sikkerhedsteknikker – ISO/IEC 27001 og ISO/IEC 27002 udvidet til at omfatte privatlivsbeskyttelse – Krav og vejledning er en international ledelsesstandard til privatlivsbeskyttelse for organisationer. Selvom databeskyttelsesforordningen er en europæisk lovgivning, har man vurderet, at den har en stor betydning for virksomheder uden for Europa, som ønsker at samarbejde og handle med europæiske virksomheder. Derfor har man udviklet en international standard, hvor der er indarbejdet et anneks (Anneks D), der laver en direkte mapping mellem bestemmelserne i standarden og en række af artiklerne i databeskyttelsesforordningen. På den måde kan virksomheder anvende standarden til at strukturere deres arbejde med persondatabeskyttelse og samtidig mappe det til lovkrav fra forordningen.
Derudover er man i gang med at udarbejde en europæisk standard, der går lidt dybere end ovenstående ved udelukkende at se på ISO/IEC 27701 i en europæisk kontekst; CEN/CLC 17926 Privatlivsbeskyttelsessystem i henhold til ISO/IEC 27201 – Tilpasning til en europæisk kontekst. Standarden bliver udarbejdet for at hjælpe europæiske virksomheder og organisationer med at demonstrere compliance ift. GDPR. Standarden forventes at blive udgivet i starten af 2024.
