GDPR uchyla regulacje Dyrektywy 95/46/WE w sprawie ochrony osób fizycznych w zakresie przetwarzania danych osobowych i swobodnego przepływu tych danych. Na gruncie polskiego prawa Rozporządzenie zastąpi aktualnie obowiązujące przepisy dotyczące ochrony danych osobowych (w szczególności ustawę z dnia 29 sierpnia 1997 r. o ochronie danych osobowych).

Vacatio legis Rozporządzenia jest stosunkowo krótkie (20 dni od publikacji w Dzienniku Urzędowym UE), jednocześnie jednak przewiduje ono dwuletni okres na dostosowanie przetwarzania danych do przewidzianych nim, nowych regulacji prawnych.

Najistotniejsze zmiany wynikające z nowych regulacji dotyczących zasad przetwarzania danych osobowych to:

– znaczące podniesienie poziomu ochrony oraz zaostrzenie sankcji za nieprzestrzeganie zasad przetwarzania danych osobowych (w przypadku przedsiębiorców do 4% rocznego przychodu),

– stosowanie przewidzianych rozporządzeniem zasad przetwarzania danych osobowych także do podmiotów posiadających siedzibę poza UE, jeżeli przetwarzanie danych wiąże się z oferowaniem osobom, których dane dotyczą towarów lub usług lub monitorowaniem ich zachowania (np. profilowaniem),

– uszczegółowienie zasad uzyskiwania zgody na przetwarzanie danych osobowych od osoby, której dane dotyczą,

– wprowadzenie powszechnego obowiązku informowania lokalnych organów nadzorujących przetwarzanie danych (w Polsce – GIODO), a niekiedy także osób, których dane dotyczą o stwierdzonych przypadkach naruszeń w zakresie przetwarzania danych osobowych,

– wyraźne potwierdzenie i uszczegółowienie zasad realizacji „prawa do bycia zapomnianym”, przysługującego osobie, której dane są przetwarzane, tj. prawa do żądania usunięcia przez administratora danych osobowych dotyczących takiej osoby (za wyjątkiem określonych prawem przypadków dozwolonej retencji danych),

– obowiązek administratorów do zapewnienia osobom, których dane dotyczą możliwości przeniesienia danych osobowych do innego administratora poprzez obowiązek administratora wydania takich danych na żądanie, co ma nastąpić „w ustrukturyzowanym, powszechnie używanym formacie nadającym się do odczytu maszynowego”,

– poszerzenie i uszczegółowienie obowiązków ciążących na tzw. data processors, tj. podmiotach przetwarzających dane osobowe na zlecenie administratora,

– obowiązek wykonania przez administratora „oceny skutków dla ochrony danych” (ang. data protection impact assessment), jeżeli przetwarzanie – w szczególności z użyciem nowych technologii – ze względu na charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób, których dane są przetwarzane,

– obowiązek wyznaczenia osoby inspektora ochrony danych (data protection officer) w określonych przypadkach przetwarzania danych osobowych (np. przetwarzania danych wrażliwych),

– zniesienie obowiązku dokonywania rejestracji zbiorów danych osobowych,

– ustanowienie jednego wiodącego organ nadzoru nad przetwarzaniem danych osobowych w przypadku przetwarzania przez administratora danych osobowych jednocześnie w kilku państwach UE (tzw. One-Stop-Shop).