GDPR (databeskyttelsesforordningen) blev vedtaget af EU den 14. april 2016 og trådte i kraft den 25. maj 2018. Begrundelsen var, at vores data i stigende grad indsamles, deles og handles digitalt – og at borgerne skulle have kontrollen tilbage over deres egne oplysninger med ét fælles regelsæt i hele EU. Virksomheder, der ikke overholder reglerne, risikerer bøder på op til 20 mio. euro eller 4 % af den globale omsætning – alt efter hvad der er højest.
Man må ikke bare gemme oplysninger "for en sikkerheds skyld". Enhver opbevaring skal have et klart formål og et lovligt grundlag – fx en aftale, en lovpligt eller et samtykke. Og når formålet er opfyldt, skal oplysningerne slettes. Det kaldes også princippet om dataminimering og opbevaringsbegrænsning.
En personoplysning er enhver information, der kan knyttes til en identificerbar person. Det behøver ikke være hemmeligt eller privat – bare det kan føres tilbage til dig, er det en personoplysning. Også indirekte: hvis man ved at kombinere oplysninger kan finde frem til én bestemt person, tæller det med.
GDPR skelner mellem almindelige og følsomme personoplysninger. De følsomme handler om de mest private sider af et menneske og er derfor langt strammere beskyttet: De må som udgangspunkt slet ikke behandles, medmindre der er en særlig undtagelse – fx et udtrykkeligt samtykke. Jo mere følsom oplysningen er, jo bedre skal den låses inde.
Du har ret til at spørge enhver virksomhed eller myndighed: "Hvad ved I om mig?" – og de skal svare, normalt inden for en måned, gratis. Svaret skal fortælle, hvilke oplysninger de har, hvor de kommer fra, hvad de bruges til, og hvem de deles med. Det er ofte en øjenåbner at se, hvor meget der faktisk er registreret.
Når der ikke længere er en god grund til at gemme dine oplysninger, kan du kræve dem slettet. Retten er ikke absolut – lovpligtig opbevaring (fx bogføring) og pressefrihed vejer tungere – men i mange hverdagssituationer kan du faktisk bede om at blive glemt.
Hvis der er registreret forkerte eller forældede oplysninger om dig, har du ret til at få dem rettet – det kaldes retten til berigtigelse. Virksomheden skal rette hurtigst muligt og som udgangspunkt også give besked til andre, de har delt de forkerte oplysninger med.
Du har ret til at få de oplysninger, du selv har givet en virksomhed, udleveret i et almindeligt, maskinlæsbart format – og til at tage dem med til en konkurrent. Det kaldes dataportabilitet, og tanken er, at dine data er dine: Du skal ikke være "fanget" hos én udbyder, bare fordi de sidder på din historik.