Parlament UE przyjął 14 kwietnia 2016 r. Rozporządzenie w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych (ogólne rozporządzenie o ochronie danych) oraz dyrektywy w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych.
Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. uchyli obowiązującą dyrektywą 95/46/WE. Natomiast Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. uchyli decyzję ramową Rady 2008/997/WSiSW.
Oba akta zostały opublikowane w dniu 4 maja 2016 w Dzienniku Urzędowym UE L 119:
- Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) – Rozporządzenie będzie stosowane od dnia 25 maja 2018 r.
- Dyrektywa Parlamentu Europejskiego i Rady (UE) 2016/680 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych przez właściwe organy do celów zapobiegania przestępczości, prowadzenia postępowań przygotowawczych, wykrywania i ścigania czynów zabronionych i wykonywania kar, w sprawie swobodnego przepływu takich danych oraz uchylająca decyzję ramową Rady 2008/977/WSiSW.
Nowe przepisy Rozporządzenia przewidują między innymi:
- warunki wyrażenia zgody na przetwarzanie danych prywatnych,
- prawo do przenoszenia danych do innego usługodawcy,
- zgłaszanie naruszenia ochrony danych osobowych i prawo osoby, której dane dotyczą, do informacji o naruszeniu ochrony danych,
- zapewnienie, że obowiązki wykonywane wobec osób, których dane dotyczą, realizowane będą w sposób bardziej transparentny,
- ustanowienie Europejskiej Rady Ochrony Danych, zastępującej Grupę Roboczą Art. 29,
- wprowadzenie mechanizmu kompleksowej obsługi (pojedynczego punktu kontaktowego),
- ustanowienie procedur współpracy administracyjnej prowadzonej pomiędzy organami ochrony danych osobowych państw członkowskich UE,
- nakładanie administracyjnych kar pieniężnych (nawet w wysokości 4 % całkowitego rocznego światowego obrotu przedsiębiorstwa) i ich zdecydowane egzekwowanie.
Natomiast przepisy zawarte w dyrektywie mają z kolei na celu ochronę osób w związku z przetwarzaniem danych osobowych na potrzeby zapobiegania, dochodzenia, wykrywania lub ścigania przestępstw lub wykonywania sankcji karnych.