Ευρωπαϊκός Κανονισμός Γενικής Προστασίας Δεδομένων (GDPR) Ο Γενικός Κανονισμός Προστασίας Δεδομένων (GDPR) (ΕΕ) 2016/679 είναι ένας κανονισμός της νομοθεσίας της ΕΕ για την προστασία δεδομένων και την ιδιωτική ζωή για όλα τα άτομα εντός της Ευρωπαϊκής Ένωσης και του Ευρωπαϊκού Οικονομικού Χώρου. Αφορά επίσης την εξαγωγή δεδομένων προσωπικού χαρακτήρα εκτός της ΕΕ και του ΕΟΧ. Το GDPR στοχεύει πρωτίστως στον έλεγχο των πολιτών και των κατοίκων σχετικά με τα προσωπικά τους δεδομένα και στην απλούστευση του ρυθμιστικού περιβάλλοντος για τις διεθνείς επιχειρήσεις με την ενοποίηση του κανονισμού εντός της ΕΕ.
Αντικαθιστώντας την οδηγία για την προστασία των δεδομένων, ο κανονισμός περιέχει διατάξεις και απαιτήσεις σχετικά με την επεξεργασία πληροφοριών προσωπικής ταυτοποίησης των προσώπων στα οποία αναφέρονται τα δεδομένα εντός της Ευρωπαϊκής Ένωσης. Οι επιχειρηματικές διαδικασίες που χειρίζονται τα προσωπικά δεδομένα πρέπει να δημιουργούνται με προστασία της ιδιωτικής ζωής από το σχεδιασμό και από προεπιλογή, πράγμα που σημαίνει ότι τα προσωπικά δεδομένα πρέπει να αποθηκεύονται με ψευδώνυμο ή πλήρη ανωνυμοποίηση και να χρησιμοποιούν τις υψηλότερες ρυθμίσεις απορρήτου από προεπιλογή, έτσι ώστε τα δεδομένα να μην είναι διαθέσιμα δημοσίως ρητή συγκατάθεση και δεν μπορούν να χρησιμοποιηθούν για την αναγνώριση ενός θέματος χωρίς την αποθήκευση χωριστών πληροφοριών. Δεν επιτρέπεται η επεξεργασία δεδομένων προσωπικού χαρακτήρα εκτός εάν γίνεται σύμφωνα με νόμιμη βάση που καθορίζεται από τον κανονισμό ή εάν ο υπεύθυνος επεξεργασίας ή ο επεξεργαστής έχει λάβει ρητή συγκατάθεση από τον κάτοχο δεδομένων. Η επιχείρηση πρέπει να επιτρέπει την ανάκληση αυτής της άδειας ανά πάσα στιγμή.
Ένας επεξεργαστής δεδομένων προσωπικού χαρακτήρα πρέπει να γνωστοποιεί με σαφήνεια ποια δεδομένα συλλέγονται και πώς, γιατί γίνεται η επεξεργασία τους, πόσο καιρό διατηρούνται και αν αυτά μοιράζονται με τρίτους. Οι χρήστες έχουν το δικαίωμα να ζητούν ένα φορητό αντίγραφο των δεδομένων που έχουν συλλεχθεί από έναν επεξεργαστή σε κοινή μορφή και το δικαίωμα να διαγραφούν τα δεδομένα τους κάτω από ορισμένες συνθήκες. Οι δημόσιες αρχές και οι επιχειρήσεις των οποίων οι κύριες δραστηριότητες επικεντρώνονται στην τακτική ή συστηματική επεξεργασία δεδομένων προσωπικού χαρακτήρα καλούνται να προσλάβουν έναν υπεύθυνο προστασίας δεδομένων (DPO), ο οποίος είναι υπεύθυνος για τη διαχείριση της συμμόρφωσης με το GDPR. Οι επιχειρήσεις πρέπει να αναφέρουν τυχόν παραβιάσεις δεδομένων εντός 72 ωρών, εάν έχουν αρνητικές επιπτώσεις στο ιδιωτικό απόρρητο των χρηστών.
Εκδόθηκε στις 14 Απριλίου 2016 και μετά από μια μεταβατική περίοδο δύο ετών καθίσταται εκτελεστή στις 25 Μαΐου 2018. Επειδή το GDPR είναι κανονισμός και όχι οδηγία, δεν απαιτεί από τις εθνικές κυβερνήσεις να εγκρίνουν νομοθετικές πράξεις και είναι άμεσα δεσμευτικές και ισχύει.