A természetes személyek személyes adatainak kezelésével kapcsolatos jogi szabályozás, amely az adatok valamilyen szintű, előre meghatározott csoportjára vonatkozó adatkezelés során az adatok által érintett személyek jogi védelmére és a kezelés során felmerülő eljárások jogszerűségére vonatkozik.
A GDPR (General Data Protection Regulation / Általános adatvédelmi rendelet) 2018. május 25-től közvetlenül alkalmazandó az EU minden tagállamában, amely a nemzeti jogszabályokat felülírva egységesíti az uniós tagállamok adatkezelési szabályait. Emellett a hatályos magyar Adatvédelmi törvény: az információs önrendelkezési jogról és az információszabadságról szóló 2011. évi CXII. törvény (Infotv.) továbbra is alkalmazandó lesz, amelynek módosítása megtörtént. A GDPR alkalmazása nem függ attól, hogy az adott vállalkozás hány főt foglalkoztat, így a GDPR nemcsak a nagyvállalatokat és a közintézményeket érinti, hanem minden személyes adatot kezelő magánszemélyt, vagy vállalkozást, legyen az egyéni vállalkozó, vagy kis- és középvállalkozás (kkv). Minden szervezetnek implementálnia kell a GDPR rendelkezéseit a hazai jogszabályok mellett (Infotv., Mt., stb.). Ezért felül kell vizsgálni a jelenlegi folyamatokat és eljárásokat minden területen (sales, marketing, pénzügy, logisztika, IT, beszerzés, HR, jog, stb.) és szükség szerint át kell alakítani. Az Adatvédelmi tisztviselő (DPO) az adatkezelőt vagy az adatfeldolgozót a GDPR rendeletnek való belső megfelelés ellenőrzésében segíti. Kinevezése nem minden esetben indokolt, viszont sok esetben elkerülhetetlen (pl. kötelező egészségügyi intézmény, közigazgatási szerv, távközlési cég, pénzügyi szervezet eseteiben stb.). A GDPR szankciórendszere: alapesetben maximum 10 millió EUR, vagy vállalkozások esetében maximum a vállalkozás előző évi teljes világpiaci forgalmának 2%-áig terjedő bírság szabható ki. Súlyosabb esetben a bírság 20 millió EUR vagy a forgalom 4%-a is lehet.
