Den 25. maj 2018 trådte der nye databeskyttelsesregler i kraft, som afløste den hidtil gældende persondatalov. De nye regler stammer fra EU's såkaldte databeskyttelsesforordning og er i Danmark udmøntet og suppleret i Databeskyttelsesloven.
Reglerne omfatter enhver behandling af personoplysninger, der ikke sker i en rent privat sammenhæng. Personoplysninger er alle oplysninger, der vedrører en identificeret eller identificerbar fysisk person.
I reglerne opdeles personoplysninger generelt i følgende tre kategorier:
- Almindelige personoplysninger (ikke-følsomme) - eksempelvis navn og adresse
- Særlige kategorier af personoplysninger (følsomme) - eksempelvis helbredsoplysninger
- Oplysninger om straffedomme og lovovertrædelser eller tilknyttede sikkerhedsforanstaltninger
- Den, der behandler personoplysninger, er den dataansvarlige eller databehandleren, alt efter hvilken rolle vedkommende har i behandlingen.
Databeskyttelsesforordningen definerer den dataansvarlige som den fysiske eller juridiske person, offentlige myndighed, institution mv., der alene eller sammen med andre afgør, til hvilket formål og med hvilke hjælpemidler der må foretages behandling af oplysninger.
For alle typer af personoplysninger, skal den dataansvarlige sikre sig, at behandlingen af oplysningerne er i overensstemmelse med en række grundprincipper, ligesom der skal være et lovligt grundlag til at behandle oplysningerne.
Hvis behandlingen af data involverer en anden fysisk eller juridisk person, myndighed mv., så skal den dataansvarlige lave en såkaldt databehandleraftale med pågældende databehandler (som eksempelvis kan være leverandør af et IT-system til kommunen).
I databehandleraftalen fastlægges de formelle rammer for databehandlerens behandling af data på vegne af den dataansvarlige - herunder blandt andet forhold vedrørende sikkerhed og vilkårene for eventuel brug af anden databehandler (en såkaldt underdatabehandler).
I Danmark er det Datatilsynet, der som central uafhængig myndighed fører tilsyn med, at reglerne om databeskyttelse bliver overholdt. Datatilsynet rådgiver og vejleder, behandler klager og gennemfører tilsyn hos myndigheder og virksomheder. Yderligere oplysninger kan ses her: https://www.datatilsynet.dk/