Ker sistem varstva osebnih podatkov v EU temelji na direktivi iz leta 1995 (95/46/ES), je bila zaradi razvoja sodobnih informacijsko-komunikacijskih tehnologij (Google, Facebook, cloud computing, e-poslovanje, pametni telefoni in tablice itd.), potrebe po večji harmonizaciji (primer Google Street View), pritiskov multinacionalk in zagotovitve več pravic za posameznike dne 14.04.2016 sprejeta nova uredba (EU) 2016/679 o varstvu posameznikov pri obdelavi osebnih podatkov in o prostem pretoku takih podatkov ter o razveljavitvi Direktive 95/46/ES (Splošna uredba o varstvu podatkov).
Uredba je začela veljati dne 25.05.2016, njene določbe pa se bodo morale neposredno uporabljati v vseh državah članicah EU od dne 25.05.2018 dalje.
V praksi se je v zvezi z izvajanjem direktive iz leta 1995 (95/46/ES) poleg njene zastarelosti pojavljal predvsem problem zelo različne stopnje varstva osebnih podatkov v posameznih državah članicah EU in tudi zelo različnega delovanja nacionalnih nadzornih organov v posameznih državah članicah EU (v Sloveniji je nadzorni organ Informacijski pooblaščenec) ter problem pomanjkljivega sodelovanja med temi nadzornimi organi v primeru kršitev, storjenih v večih državah članicah EU.
Pomembne lastnosti nove uredbe, ki jih je potrebno posebej izpostaviti:
- vsaka obdelava osebnih podatkov v okviru dejavnosti sedeža upravljalca ali obdelovalca osebnih podatkov v EU mora biti izvedena v skladu s to uredbo, ne glede na to, ali sama obdelava poteka v EU ali ne;
- uredba se uporablja, če namerava upravljalec ali obdelovalec osebnih podatkov nuditi blago ali storitve posameznikom, na katere se osebni podatki nanašajo, v eni ali več državah EU (tudi če se npr. upravljalec ali obdelovalec fizično sploh ne nahaja v EU);
- privolitev posameznika za obdelavo osebnih podatkov mora biti dana z jasnim privolilnim dejanjem, ki pomeni, da je posameznik prostovoljno, specifično, ozaveščeno in nedvoumno izrazil svoje soglasje k obdelavi osebnih podatkov (tiha privolitev se ne šteje za privolitev – npr. molk, vnaprej označena okenca v spletnih obrazcih ali nedejavnost posameznika ne pomenijo privolitve);
- kadar je mogoče, bi upravljalec osebnih podatkov moral imeti možnost zagotoviti dostop na daljavo do varnega sistema, ki bi posamezniku omogočil neposreden dostop do njegovih osebnih podatkov (npr. spletno bančništvo, spletni portal e-davki, itd.);
- uredba velja tudi za “oblikovanje profilov” v kakršnikoli obliki avtomatizirane obdelave osebnih podatkov, na podlagi katerih se ocenjujejo osebni vidiki v zvezi s posameznikom, zlasti za analizo ali predvidevanje uspešnosti pri delu, ekonomskega položaja, zdravja, osebnega okusa ali interesov, zanesljivosti ali vedenja, lokacije ali gibanja, in sicer kadar ustvarja pravne učinke v zvezi z njimi ali na njih podobno znatno vplivajo;
- uredba nudi okvir za spodbujanje združenj ali drugih teles, ki predstavljajo vrste upravljalcev ali obdelovalcev osebnih podatkov, da sprejmejo kodekse ravnanja za pospeševanje učinkovite uporabe uredbe;
- uredba nudi okvir za spodbujanje uvedbe mehanizmov potrjevanja ter pečatov in označb za varstvo osebnih podatkov, ki bi posameznikom omogočili, da hitro ocenijo raven varstva osebnih podatkov zadevnih proizvodov in storitev;
- uvaja se neodvisni organ EU glede varstva osebnih podatkov;
- večajo se kazni za kršitev zakonodaje o varstvu osebnih podatkov;
- temeljna načela uredbe: zakonitost, pravičnost, preglednost, omejitev namena, točnost, ažurnost, omejitev shranjevanja, celovitost in zaupnost, odgovornost.
