GDPR = „General Data Protection Regulation: Általános Adatvédelmi Rendelet” rövidítése
A GDPR 2018. május 25-től közvetlenül alkalmazandó az EU minden tagállamában, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Emellett a hatályos magyar Adatvédelmi törvény: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) továbbra is alkalmazandó lesz, amelynek módosítása megtörtént.
A GDPR alkalmazása nem függ attól, hogy az adott vállalkozás hány főt foglalkoztat, így a GDPR nemcsak a nagyvállalatokat és a közintézményeket érinti, hanem minden személyes adatot kezelő magánszemélyt, vagy vállalkozást, legyen az egyéni vállalkozó, vagy kis- és középvállalkozás (kkv).
Minden szervezetnek implementálnia kell a GDPR rendelkezéseit a hazai jogszabályok mellett (Infotv., Mt., stb.). Ezért felül kell vizsgálni a jelenlegi folyamatokat és eljárásokat minden területen (sales, marketing, pénzügy, logisztika, IT, beszerzés, HR, jog, stb.) és szükség szerint át kell alakítani.
Az Adatvédelmi tisztviselő (DPO) az adatkezelőt vagy az adatfeldolgozót a GDPR rendeletnek való belső megfelelés ellenőrzésében segíti. Kinevezése nem minden esetben indokolt, viszont sok esetben elkerülhetetlen (pl. kötelező egészségügyi intézmény, közigazgatási szerv, távközlési cég, pénzügyi szervezet eseteiben stb.).
A GDPR szankciórendszere: alapesetben maximum 10 millió EUR, vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírság szabható ki. Súlyosabb esetben a bírság 20 millió EUR vagy a forgalom 4%-a is lehet.