GDPR (General Data Protection Regulation) är kort och gott EU, en lag som träder i kraft 25 maj 2018.
Lagen är framtagen för att öka integriteten hos bolag, både för de anställda samt deras kunder.
Men också för föreningar, myndigheter samt privatpersoner.
Med andra ord så påverkas alla som hanterar personuppgifter av den nya lagen.
Dock finns det undantag:
- personuppgiftsbehandling som sker av en privatperson för rent personligt bruk,
- personuppgiftsbehandling som sker i verksamhet som inte omfattas av EU-rätten (till exempel försvar och nationell säkerhet)
- personuppgiftsbehandling som sker i brottsbekämpande verksamhet, som exempelvis polisen
Tidigare har lagen PUL (personuppgiftslagen) ansvarat för riktlinjer runt detta, men nu tar istället GDPR vid med starkare regler och tydligare riktlinjer.
Detta innebär också att det inte längre kommer att finnas något stöd genom ”missbruksregeln”, med andra ord kommer det inte längre vara möjligt att hantera personuppgifter med stöd i att det är godkänt så länge som det inte är kränkande för någon.
Att det är en förordning av EU innebär att lagen kommer att träda i kraft direkt, samt att det inte längre är godkänt att var land har sin egen syn på lagen – det som står ska följas, oavsett land.
Dock kan ändringar, tillägg, komma att ske inom de två första åren. T.ex. finns dataskyddsutredningen som innebär att det 
kommer ses över om något behöver kompletteras.
Nu får varje enskild person en större makt över sina personuppgifter. Alla bolag ska ha samtycke för att uppgifter sparas, samt ha skäl till alla de uppgifter som sparas.
Då GDPR innehåller just tydligare riktlinjer och regler kan varje enskild person kräva att vissa uppgifter raderas (t.ex. uppgifter som samlades in när personen var yngre och som idag kan anses vara irrelevanta).
I och med denna förändring så ges alla medborgare starkare rättigheter och det innebär i sin tur att var och en har rätt att få reda på:
- vad för uppgifter som sparas om personen,
- varför dessa uppgifter sparas,
- hur de sparas
Som tidigare nämnts så har personen har också rättighet att kräva att något inte ska sparas då det finns uppgifter som kan anses vara irrelevanta. Detta kan vara t.ex. uppgifter hos sökmotorer eller uppgifter i kundregister (t.ex. vid gratis reklam).
GDPR kommer alltså ställa högre krav på alla som hanterar personliga uppgifter, både på hur de hanteras men också varför och hur länge. Alla bolag, föreningar, myndigheter samt privatpersoner har därför en väg framför sig som kantas av både förändringar samt upprättning av nya rutiner.
En annan nyhet med GDPR är just att följs inte lagen riskerar hanteraren höga sanktionsavgifter. Denna administrativa avgift kan uppgå till 20 miljoner euro eller fyra procent av hanterarens globala omsättning.
Bedömningen görs i förstahand i varje land – i Sverige är det därför Datainspektionen som styr.