2016. május 24-én lépett hatályba az Európai Parlament és a Tanács 2016/679 számú új egységes adatvédelmi rendelete, mely többéves egyeztetés eredményeként 2018. május 25-től lép majd a jelenleg hatályos 1995. évi adatvédelmi irányelv helyébe.
Míg az eddigi irányelvi szintű szabályozás a tagállamokban egymástól többé-kevésbé eltérő adatvédelmi szabályozást eredményezett, az új rendelet az EU egész területén közvetlenül alkalmazandó, így a felkészülésre a tagállamok 2 éves türelmi időt kaptak.
A rendelet hatálya nem csak az Unióban tevékenységi hellyel rendelkező adatkezelőkre, adatfeldolgozókra terjed ki, hanem minden olyan adatkezelőre, adatfeldolgozóra is, akik nem rendelkeznek tevékenységi hellyel az EU-n belül, de áruk értékesítése vagy szolgáltatások nyújtása során az Unióban tartózkodó érintettek adatait kezelik, vagy az érintettek viselkedésének megfigyeléséhez kapcsolódó tevékenységet folytatnak az Unió területén.
A rendelet egyik központi eleme az átláthatóság biztosítása az adatkezelés során, az adatkezelők minden egyes tájékoztatásának tömörnek, átláthatónak, érthetőnek kell lennie, valamint könnyen hozzáférhető formában, világosan és közérthetően megfogalmazva kell az adatkezelésre vonatkozó információknak megjelenniük. Ezen felül minden adatkezelőnek a rendeletben meghatározott információkat tartalmazó nyilvántartást kell vezetnie az általa végzett adatkezelési tevékenységekről. Ez utóbbi kötelezettség nem vonatkozik a 250 főnél kevesebb személyt foglalkoztató vállalkozásokra, kivéve, ha az adatkezelés az érintettek jogaira és szabadságaira nézve valószínűsíthetően kockázattal jár, vagy amennyiben különleges adatot kezelnek, vagy ha az adatkezelés nem alkalmi jellegű.
Újdonság az érintett adatainak törléséhez való jogának kiterjesztése, azaz az ún. „elfeledtetéshez való jog”, mely alapján, amennyiben az adatkezelő nyilvánosságra hozta a személyes adatot, nem csak saját adatbázisából köteles azt törölni a jogosult kérésére, hanem köteles megtenni az ésszerűen elvárható lépéseket annak érdekében, hogy tájékoztassa a további adatkezelőket, hogy az érintett kérelmezte tőle a szóban forgó személyes adatokra mutató linkek vagy másodpéldányok törlését is.
A gyermek hozzájárulására vonatkozó feltételek kapcsán a rendeletben meghatározásra kerül, hogy a közvetlenül gyermekeknek kínált online szolgáltatások kapcsán a 16. életévét be nem töltött gyermek esetén, a gyermek személyes adatainak kezelése csak akkor és olyan mértékben jogszerű, ha a hozzájárulást a szülői felügyeletet gyakorló szülő adta meg, illetve engedélyezte. A tagállamok jogosultak ennél alacsonyabb életkort is megállapítani, de ez a korhatár 13. életévnél alacsonyabb nem lehet.
A fentieken túl a rendelet egységesíti az adatvédelmi jogsértés esetén alkalmazható bírságot is, így minden tagállami hatóságnak ugyanolyan összegű bírság kiszabására lesz lehetősége. A bírság maximális összege pedig a NAIH jelenlegi legmagasabb 20 millió forint összegű bírságához képest elérheti a 20 millió eurót, illetve – amennyiben ez magasabb összeg – akkor vállalkozások előző éves forgalmának a 4 százalékát.