General Data Protection Regulation, forkortet til GDPR – på norsk personvernforordningen – er en forordning som skal styrke personvernet for borgere i EU- og EØS-land.
GDPR sitt formål er å sikre borgernes, sluttkundenes og brukernes data, blant annet for å forebygge cyberkriminalitet og for å regulere virksomhetenes kommersielle utnyttelse av persondata.
Personvernforordningen viderefører den gamle forordningen fra 1995, men med en rekke innstramminger knyttet til økte dokumentasjonskrav, innebygget personvern (data protection by design and by default), dataportabilitet, sletting samt varsling ved sikkerhetsbrudd.
Forordningen gjelder som lov for alle borgere i EU- og EØS-landene og gjelder til en viss grad også selv databehandlingen skjer i land utenfor EU.
GDPR inneholder regler om hvor og hvordan personopplysninger skal behandles, hvilke plikter man har som databehandler og hvordan man skal dokumentere bruken av persondata.
For eksempel:
I noen land er GDPR også inkorporert i egne lover. I Norge finner vi den igjen i personopplysningsloven.
Overtredelse kan gi gebyrer på opptil 20 millioner euro eller 4 prosent av global omsetning, avhengig av hva som er høyest.
Forordningen trådte i kraft 25. mai 2018 og har direkte virkning i medlemslandene, og krever ikke nasjonal lovgivning. Personvernforordningen er EØS-relevant og i Norge trådte forordningen i kraft 20. juli 2018.
Cegal har gjennom flere år bistått energibransjen med rådgivning og gjennomføring av personvernkonsekvensanalyser for at våre kunder skal bli GDPR kompatible.