Den 25. maj 2018 træder persondataforordningen i kraft. Forordningen giver detaljerede retningslinjer for behandling af oplysninger om personer.Konsekvensen af manglende overholdelse kan være enorm, da bøderne kan beløbe sig op til 20.000.000 €, eller op til 4 % af din virksomheds årlige omsætning, når beløbet udgør mere end 20.000.000 €.
De krav, der stilles til en virksomhed afhænger af, hvilke typer personoplysninger, virksomheden behandler. En ændring i persondataforordningen i forhold til persondataloven er, at semi-følsomme oplysninger efter persondataloven bliver til almindelige oplysninger efter persondataforordningen. Dette har betydning for kravet til samtykke. Behandler man eksempelvis oplysninger om navn og adresse kræves almindeligt samtykke, fordi disse oplysninger kategoriseres som almindelige personoplysninger. Behandler man derimod oplysninger om race, politisk eller religiøs overbevisning, helbredsmæssige forhold osv., så er der tale om følsomme personoplysninger, hvor der gælder et krav om udtrykkeligt samtykke.
Persondataforordningen tillægger den person, som afgiver sine oplysninger, en række rettigheder, der skal iagttages ved indsamling og behandling af oplysningerne. Virksomheden, som behandler oplysningerne, pålægges en oplysningspligt overfor den person, hvis oplysninger bliver indsamlet og behandlet. Rettighederne, der tillægges personen, omfatter eksempelvis en indsigtsret, en sletningsret og en ret til dataportabilitet. Indsigtsretten betyder, at vedkommende har ret til at kræve indsigt i de oplysninger, som er indsamlet og behandlet. Sletningsretten betyder, at vedkommende kan kræve oplysningerne slettet, når de ikke længere er nødvendige for behandling til brug for formålet. Dataportabilitetsretten består i, at vedkommende har ret til at modtage de oplysninger, virksomheden har indsamlet.
Derudover stiller forordningen strenge krav til den måde, hvorpå behandlingen af oplysninger finder sted internt i virksomhed. Er en virksomhed en del af en koncern, eller behandler virksomheden følsomme personoplysninger, stiller forordningen krav om, at der udpeges en databeskyttelsesrådgiver.