Den persondatalov, vi har i Danmark og i resten af EU-landene, bygger på et direktiv fra 1995. Et direktiv skal implementeres af hvert lands parlament, og derfor er lovgivningerne i de forskellige EU-lande kommet til at se ret forskellige ud – selvom principperne er de samme. Kommissionen har ønsket at harmonisere persondatabeskyttelsen i hele EU og har derfor udstedt denne forordning. Til forskel fra et direktiv gælder en forordning nemlig direkte i alle EU-lande. 

TV-overvågning
"TV-overvågning har i dag sit eget kapitel i Persondataloven - det bliver spændende at se, hvad der sker med det," siger Kasper Skov-Mikkelsen og uddyber: "Det er i det kapitel, vi har bestemmelserne om de 30 dages opbevaring og om at TV-overvågning er undtaget fra den anmeldelsesmeldepligt til Datatilsynet, som i dag gælder for anden persondatabehandling. Man kan formentlig vælge at droppe de særlige bestemmelser undtaget "videregivelse" og betragte TV-overvågning som al anden databehandling efter implementeringen af forordningen."

Kontrolcentraler
"Selvom en kontrolcentral kun er en mindre virksomhed i EU-øjne, vil det blive et krav, at alle kontrolcentraler har en Data Protection Officer (DPO)," mener Kasper Skov-Mikkelsen. "Kravet gælder for virksomheder, der professionelt behandler data for andre, og det må siges at være en kontrolcentrals kernebeskæftigelse," forklarer han.

Adgangskontrol
"Ikke alle adgangskontrolsystemer registrerer personoplysninger, men mange gør, og de vil altså være omfattet af den nye forordning," slår Kasper Skov-Mikkelsen fast. Dermed mener han at forordningen vil gøre livet lettere for nogle. "De virksomheder, der bliver omfattet, er jo i dag omfattet af Persondataloven og nogle skal anmelde deres databehandling. Når forordningen bliver implementeret, forsvinder det krav," siger han.

Større samarbejde
Databeskyttelsesforordningen lægger op til et større samarbejde mellem de nationale datatilsyn. Dog er der en række bestemmelser, hvor den konkrete udformning er overladt til medlemsstaterne, så en total harmonisering er på forhånd udelukket. De enkelte landes øvrige juridiske indretning kan også komme i vejen for dele af forordningen. Eksempelvis har det danske justitsministerie afgjort, at Datatilsynet ikke selv må udstede bøder. Derfor vil det fortsat være som i dag, hvor Datatilsynet indstiller til politiet, at der skal udstedes bøder. I andre EU-lande vil det nationale datatilsyn selv udstede bøder direkte og dermed have kontrol over bødens størrelse.

Forordningen vil gælde for alle virksomheder, der behandler persondata, både den dataansvarlige og hele kæden af databehandlere. Med den nye forordning vil ansvaret for eventuelle overtrædelser af reglerne blive delt mellem dataansvarlig og databehandler. I Danmark er det i dag altid den dataansvarlige, der hænger på ansvaret.

Også ikke EU-lande
Virksomheder udenfor EU, der tilbyder tjenester indenfor EU og dermed behandler persondata om EU-borgere, er også omfattet af forordningen. I dag har de europæiske lande udfordringer med at sikre, at vores data bliver opbevaret korrekt, når de bliver opbevaret udenfor EU, og det er disse vanskeligheder, forordningen forsøger at imødegå. Opbevaring af data i fx Indien eller USA bliver stadig mere udbredt, på trods af at det er lande med en noget anderledes opfattelse af sikker dataopbevaring end den europæiske.

På en række punkter bliver databehandling nemmere. For eksempel fjernes krav om anmeldelse og underretning vedrørende behandling af persondata helt. Det er dog et af de områder, hvor landene kan vælge at lave særlige regler. I Danmark kan det fx betyde, at der fortsat vil være krav om anmeldelse af behandling af fortrolige eller følsommer oplysninger til personaleadministration.

Virksomheder, der opererer i flere lande, vil også glæde sig over forordningens one-stop-shop mekanisme, der gør, at virksomhederne kun behøver at have kontakt med ét medlemslands tilsynsmyndighed for at få tilladelser mv.

Data Protection Officer
Forordningen lægger op til en risikobaseret tilgang, hvor forpligtelserne omkring behandling af data tilpasses de reelle risici. Et eksempel herpå er den såkaldte Data Protection Officer (DPO), der vil være et krav indenfor den offentlige sektor og virksomheder, hvis kerneaktivitet er behandling af persondata, eller hvor der behandles følsomme oplysninger i større omfang. De fleste små og mellemstore virksomheder behøver derimod ikke en DPO. Dog skal alle virksomheder kunne dokumentere, at de efterlever reglerne i forordningen.

En DPO har til ansvar at sikre, at regler og procedurer omkring behandling af data overholdes i det daglige. DPO'en skal være kvalificeret til at bestride opgaven, altså have kendskab til datasikkerhed i praksis og lovgivning.

Retten til at blive glemt
Med forordningen følger en række forpligtelser for databehandlere, og her vejer hensynet til det enkelte individ tungt. Der er krav om, at enkeltpersoner skal have mere og mere klar og tilgængelig information om, hvordan deres oplysninger behandles. Ligesom i dag har enkeltpersoner ret til at få indsigt i de data, man opbevarer om dem. Begæring om den indsigt skal med den nye forordning besvares indenfor fire uger uden omkostninger. Det vakte opsigt, da EU i 2014 afgjorde, at vi alle har "retten til at blive glemt" – også på internettet. Med forordningen kommer der langt klarere regler om den ret og specifikke krav om sletning af data.

Hvis en databehandler har et alvorligt brud på datasikkerheden, skal denne ifølge forordningen underrette de nationale tilsynsmyndigheder indenfor 72 timer.

En af de mest omtalte tiltag i forordningen er størrelsen på de bøder, der kan udstedes ved brud på reglerne. Rygterne taler sandt – bøderne kan gå hen og blive endda meget mærkbare. Virksomheder kan få bøder, der svarer til op til fire procent af deres globale årlige koncernomsætning, og for øvrige databehandlere kan bøderne gå helt op til 20.000.000 euro. Dermed afspejler forordningen, at effektiv databeskyttelse er essentiel for det moderne europæiske samfund.