O RGPD foi aprovado pelo Parlamento da UE em abril de 2016. O regulamento entrará em vigor após um período de transição de dois anos e, ao contrário de uma diretriz, não exige que uma legislação seja aprovada pelo governo. Isto significa que estará em vigore a 25 de maio de 2018.
O RGPD não só se aplica a empresas localizadas na UE, como também se aplica a empresas localizadas fora da UE que ofereçam bens ou serviços ou monotorizem o comportamento e informação de indivíduos da UE. Aplica-se a todas as empresas que processam e armazenam os dados pessoais de pessoas que residem na União Europeia, independentemente da localização da empresa.
As empresas podem ser multadas até 4% do volume de negócios global anual por violação do RGPD ou em 20 milhões de euros. Esta é a multa máxima que pode ser imposta para as infracções mais graves, por exemplo, não tendo o consentimento suficiente do cliente para processar dados. Uma empresa pode ser multada em 2% por não ter seus registros em ordem (artigo 28), não notificando a autoridade de supervisão e a pessoa em causa sobre uma violação ou não realização de avaliação de impacto. É importante notar que essas regras aplicam-se tanto a controladores quanto a processadores - o que significa que a informação na 'núvem' não estará isenta da execução do Regime.
Qualquer informação relacionada com uma pessoa física ou "Assunto de Dados", que pode ser usada para identificar direta ou indiretamente a pessoa. Pode ser qualquer elemento como um nome, uma foto, um endereço de e-mail, detalhes bancários, "posts" em sites de redes sociais, informações médicas ou um endereço de IP do computador.
Um controlador é a entidade que determina os propósitos, condições e meios de processamento de dados pessoais, enquanto o processador é uma entidade que processa dados pessoais em nome do controlador.
As condições de consentimento foram reforçadas, uma vez que as empresas não podem mais usar termos e condições longas e ilegíveis cheias de leis, uma vez que o pedido de consentimento deve ser dado de forma inteligível e facilmente acessível, com o objetivo de processamento de dados anexado a este consentimento - o que Significa que deve ser inequívoca. O consentimento deve ser claro e distinguível de outros assuntos e fornecido de forma inteligível e facilmente acessível usando linguagem clara e simples. Deve ser tão fácil retirar o consentimento quanto é dar. O consentimento explícito só é necessário para o processamento de dados pessoais sensíveis - neste contexto, basta "optar". No entanto, para dados não sensíveis, o consentimento "inequívoco" será suficiente.
O consentimento dos pais será necessário para processar os dados pessoais de crianças menores de 16 anos para serviços on-line. Os Estados Membros podem legislar para uma menor idade de consentimento, mas isso não será menor que 13 anos.
Um regulamento é um ato legislativo vinculativo. Deve ser aplicado na íntegra em toda a UE, enquanto uma directiva é um ato legislativo que estabelece um objetivo que todos os países da UE devem alcançar. No entanto, compete aos países individuais decidir como. É importante notar que o RGPD é um regulamento, ao contrário da legislação anterior, que é uma diretiva.
Os DPOs devem ser nomeados no caso de: (a) autoridades públicas, (b) organizações que realizam monitoramento sistemático em larga escala, ou (c) organizações que se envolvem em processamento em grande escala de dados pessoais sensíveis (Art. 37). Se a sua organização não se enquadra em uma dessas categorias, não precisa nomear um DPO.
Os regulamentos propostos em torno de violações de dados referem-se principalmente às políticas de notificação das empresas que foram violadas. Sob o RGPD, a notificação de violação tornará-se obrigatória em todos os Estados membros onde uma violação de dados é susceptível de resultar num risco para os direitos e liberdades dos indivíduos. Isso deve ser feito no prazo de 72 horas após ter tomado conhecimento da violação. Os processadores de dados também serão obrigados a notificar, sem demoras injustificadas, os seus clientes, os controladores, depois de terem tomado conhecimento de uma violação de dados.