Forordning (EU) 2016/679, kendt som den generelle forordning om databeskyttelse (GDPR), beskytter fysiske personer, når deres oplysninger behandles i den private sektor og i størstedelen af den offentlige sektor. Relevante myndigheders behandling af oplysninger i forbindelse med retshåndhævelse er dog underlagt retshåndhævelsesdirektivet (se resumé).
Den giver fysiske personer bedre mulighed for at have kontrol over deres personoplysninger. Den moderniserer og ensretter også reglerne og giver virksomheder mulighed for at reducere bureaukratiet og drage fordel af øget forbrugertillid.
Den opretter et system af fuldt uafhængige tilsynsmyndigheder med ansvar for overvågning og håndhævelse af overholdelsen.
Den er en del af Den Europæiske Unions (EU) databeskyttelsesreform, sammen med retshåndhævelsesdirektivet og forordning (EU) 2018/1725 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i EU's institutioner, organer, kontorer og agenturer (se resumé).
HOVEDPUNKTER
Fysiske personers rettigheder
GDPR styrker eksisterende rettigheder, giver mulighed for nye rettigheder og giver fysiske personer mere kontrol over deres personoplysninger. Den omfatter følgende.
Nemmere adgang til en fysisk persons egne oplysninger. Dette omfatter mere information om, hvordan data behandles, og sikring af, at denne information er tilgængelig på en klar og forståelig måde.
Retten til dataportabilitet. Dette gør det nemmere at transmittere personoplysninger mellem tjenesteydere.
Retten til sletning (retten til at blive glemt). Når en person ikke længere ønsker sine oplysninger behandlet, og der ikke er legitime grunde til at gemme dem, skal oplysningerne slettes.
Retten til at vide det, når ens personoplysninger er blevet lækket. Virksomheder og organisationer skal straks underrette de relevante datatilsynsmyndigheder, og i tilfælde af alvorlige brud på persondatasikkerheden også den berørte fysiske person.
Regler for virksomheder
GDPR skaber lige vilkår for alle virksomheder, som driver forretning på EU’s indre marked, indfører en teknologineutral tilgang og stimulerer innovation gennem en række skridt, som omfatter følgende.
Et enkelt sæt regler, der gælder i hele EU. En enkelt databeskyttelseslovgivning, der gælder i hele EU, øger retssikkerheden og mindsker den administrative byrde.
En databeskyttelsesrådgiver. Offentlige myndigheder og virksomheder, som behandler data i stort omfang, eller hvis kerneaktiviteter er at behandle særlige kategorier af data, som for eksempel helbredsoplysninger, skal udpege en person, der er ansvarlig for databeskyttelse.
One-stop-shop. Virksomheder skal kun have kontakt til én enkelt tilsynsmyndighed (i den EU-medlemsstat, hvor de har hovedvirksomhed). De relevante tilsynsmyndigheder samarbejder inden for rammerne af Det Europæiske Databeskyttelsesråd i grænseoverskridende sager, med yderligere procedureregler for grænseoverskridende håndhævelse fastsat i forordning (EU) 2025/2518.
EU-regler for ikke-EU-virksomheder. Virksomheder med hjemsted uden for EU skal følge de samme regler, når de tilbyder tjenesteydelser eller varer, eller når de overvåger personers adfærd inden for EU.
Innovationsvenlige regler. En garanti for, at databeskyttelsesgarantier er indbygget i produkter og tjenesteydelser fra første udviklingstrin (databeskyttelse gennem design og gennem standardindstillinger).
Teknikker til privatlivsbeskyttelse. Der tilskyndes til anvendelse af teknikker som for eksempel pseudonymisering (når identificerede parametre i en dataregistrering erstattes med en eller flere koder) og kryptering (når data kodes på en måde, så kun de, der har autoriseret adgang, kan læse dem) for at gøre behandlingen mindre påtrængende.
Fjernelse af anmeldelse. GDPR skrottede de fleste anmeldelsespligter og de omkostninger, der er forbundet med dette. Et at målene er at fjerne hindringer, som påvirker den frie strøm af personoplysninger i EU. Det vil gøre det nemmere for virksomheder at udvide deres aktiviteter på et digitalt indre marked.
Konsekvensanalyse vedrørende databeskyttelse. Organisationer skal udføre en konsekvensanalyse, hvis databehandling kan indebære en høj risiko for personlige rettigheder og frihedsrettigheder.
Fortegnelser.Små og mellemstore virksomheder er ikke forpligtede til at føre fortegnelser over behandlingsaktiviteter — medmindre behandlingen er regelmæssig eller sandsynligvis vil indebære en risiko for rettigheder og frihedsrettigheder for de personer, hvis data behandles, eller omfatter følsomme kategorier af oplysninger.
En moderne værktøjskasse til internationale dataoverførsler. GDPR tilbyder forskellige instrumenter til overførsel af oplysninger uden for EU, herunder beslutninger om et tilstrækkeligt beskyttelsesniveau vedtaget af Europa-Kommissionen, hvis ikke-EU-landet tilbyder et tilstrækkeligt beskyttelsesniveau, forhåndsgodkendte (standard-) kontraktbestemmelser, bindende virksomhedsregler, adfærdskodekser og certificering.
Håndhævelse af GDPR i grænseoverskridende sager
Forordning (EU) 2025/2518 (vedtaget den og offentliggjort i Den Europæiske Unions Tidende den ) fastsætter procedureregler for håndhævelsen af GDPR i grænseoverskridende sager (hvor mere end én myndighed i EU/Det Europæiske Økonomiske Samarbejdsområde er involveret). Målet er at gøre undersøgelser og klagebehandling hurtigere og mere ensartede på tværs af medlemsstaterne.
Denne forordning styrker og standardiserer processer som f.eks. hvordan klager indgives og vurderes, samarbejdet mellem den ledende tilsynsmyndighed og andre berørte myndigheder samt tydeligere proceduremæssige rettigheder for de centrale parter (klagere og parter, der er genstand for undersøgelse). Den har til formål at forbedre effektiviteten og retssikkerheden i forbindelse med grænseoverskridende håndhævelse af GDPR og samtidig understøtte en mere effektiv koordinering mellem tilsynsmyndighederne.
Revision
Kommissionen forelagde sin første rapport vedrørende evaluering og revision af forordningen i juni 2020. Den anden rapport blev forelagt i juli 2024, og næste rapport er planlagt til 2028.
HVORNÅR GÆLDER FORORDNINGEN FRA?
GDPR trådte i kraft den .
Procedurereglerne for grænseoverskridende håndhævelse i forordning (EU) 2025/2518 finder anvendelse fra .
Europa-Parlamentets og Rådets forordning (EU) 2016/679 af om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger og om fri udveksling af sådanne oplysninger og om ophævelse af direktiv 95/46/EF (generel forordning om databeskyttelse) (EUT L 119 af , s. 1).
Efterfølgende ændringer til forordning (EU) 2016/679 er blevet indarbejdet i grundteksten. Denne konsoliderede udgave har ingen retsvirkning.
TILHØRENDE DOKUMENTER
Europa-Parlamentets og Rådets forordning (EU) 2025/2518 om supplerende procedureregler for håndhævelse af forordning (EU) 2016/679
Europa-Parlamentets og Rådets forordning (EU) 2018/1725 om beskyttelse af fysiske personer i forbindelse med behandling af personoplysninger i Unionens institutioner, organer, kontorer og agenturer og om fri udveksling af sådanne oplysninger.
Direktiv (EU) 2016/680 om beskyttelse af personoplysninger ved politi- og strafferetlige myndigheder og om fri udveksling af sådanne oplysninger.
Europa-Parlamentets og Rådets direktiv 2002/58/EF om behandling af personoplysninger og beskyttelse af privatlivets fred i den elektroniske kommunikationssektor (Direktiv om databeskyttelse inden for elektronisk kommunikation).