Mától alkalmazandó az Európai Unió általános adatvédelmi rendelete (General Data Protection Regulation), ezzel egységessé válik az adatvédelmi szabályozás az Európai Unió egész területén.
Az Európai Unió még 2016-ban fogadta el az általános adatvédelmi rendeletet, de a szabályozás csak 2018. május 25-től alkalmazandó. A rendelet felülírja a nemzeti jogszabályokat, és közvetlenül alkalmazandó, ezért a helyi szabályokat az új előírásoknak megfelelően módosítani kellett.
A szabályozás kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodók személyes adatait kezeli vagy feldolgozza.
Az új uniós szabályozás jelentősen kibővíti a személyes adatok körét, és minden olyan azonosított vagy beazonosítható emberre vonatkozó adatot ilyennek tekint, amely az illető privát, szakmai vagy közösségi, társadalmi tevékenységére vonatkozik. Azaz személyes adat többek között a név, a születési és egészségügyi adat, a bankszámlaszám, a jövedelem, a helymeghatározó adat (GPS), az e-mail-cím, a vállalati és magántelefonszám, a levelezési cím, de akár egy IP-cím is.
Az új rendelet megerősíti a személyes adatok törlésének jogát: ha valaki már nem szeretné, hogy adatait a továbbiakban feldolgozzák, és az adott szervezetnek nincs alapos indoka azok tárolására, akkor a szervezetnek törölnie kell a kérdéses adatokat a rendszeréből. Az állampolgárokat megilleti az adatok hordozhatóságának joga is, azaz jogukban áll adataikról másolatot kérni egy adott szolgáltatótól és azt egy másik szolgáltatónak továbbítani.
Azoknak az intézményeknek, amelyek nagy tömegben, automatizált módon kezelnek személyes adatokat – például a bankok, biztosítók, egészségügyi szolgáltató intézmények, informatikai szolgáltatók –, és azoknak, amelyek különlegesen érzékeny személyes adatokat – politikai nézet, szakszervezeti tagság, szexuális irányultság – kezelnek, adatvédelmi felelőst kell kinevezniük. Ő személyében felelős a megfelelő adatvédelmi rendszer működtetéséért és az adatok védelméért. A kisebb szervezeteknek nem kötelező ugyan adatvédelmi felelőst kinevezniük, az adatok kockázatokkal arányos védelméért ők is felelősek.
A rendelet egyetlen páneurópai adatvédelmi jogszabályt teremt, így a vállalkozásoknak a 28 tagállam nemzeti jogszabályai helyett csak egyet kell szemmel tartaniuk. Az új szabály tisztességes versenyt teremt, mivel az Unión kívüli vállalkozásoknak ugyanazokat a szabályokat kell alkalmazniuk.
A rendelet előírásainak megszegése esetén a kiszabható bírság akár a 20 millió eurót vagy a cégcsoport teljes, globális forgalmának 4 százalékát is elérheti.
