Az unió teljes területén hatályba lép 2018. május 25-én a Közös Európai Adatvédelmi Rendelet (GDPR), amely kiterjed minden olyan hatóságra, gazdasági társaságra és szervezetre, amely az EU-ban tartózkodó érintett személyes adatait kezeli vagy feldolgozza. Az uniós rendeletet, ami egységesíti a tagállamok, köztük Magyarország adatvédelmi rendelkezéseit, valamint felülírja a nemzeti jogszabályokat, közvetlenül kell alkalmazni, ehhez azonban a helyi adatvédelmi szabályokat az új előírásoknak megfelelően kell módosítani.
 
Magyarországon még váratnak magára az uniós szintű rendelet hazai alkalmazásához szükséges jogszabály-módosítások. A parlament jóváhagyása mellett, a rendelet itthoni alkalmazásához szükség lesz még egy, kétharmados törvényben felállítandó felügyeleti hatóságra, a bíróságon kívüli szankciók megállapítására, a tanúsító szervek akkreditációjára, illetve bizonyos, tagállami jogi egységesítésre is.
 
Amennyiben a választások után felálló parlament nem fogadja el a szükséges szabályokat, az Európai Unió által meghatározott határidőig, akkor az uniós jog elsőbbsége érvényesül Magyarországon. Ebben az esetben az itthon működő vállalatoknak az uniós rendelet elvárásainak kell megfelelniük és nem a hazai törvényi szabályoknak, ami jogbizonytalanságot eredményezhet. Az uniós GDPR szabályok megsértése esetén a kiszabható bírság mértéke elérheti akár a 20 millió eurót (több mint 6 milliárd forintot). A hazai szabályozás elfogadásának hiányában az adatvédelmi szabályokhoz nem kapcsolódik majd hatósági végrehajtás, vagyis a hazai szabályok alapján bírságolásra sem lesz lehetőség. A rendelkezéseket kizárólag bírósági úton lehet majd érvényesíteni. Nem lesz egyértelmű például az egészségügyi személyes adatok kezelésével kapcsolatos előírások és a GDPR együttélése, vagy az, hogy kérhető-e erkölcsi bizonyítvány egy munkavállalótól.
 
A GDPR ugyancsak szigorú előírásokat tartalmaz a beépített és alapértelmezett adatvédelmi elvek alkalmazásáról, biztosítva a vállalatok tevékenysége során kezelt adatok teljes körű védelmét. A szervezeteknek kell biztosítaniuk az adatvédelmi követelményeknek való megfelelést, figyelembe kell venni, hogy a megfelelő szintű adatvédelem érvényesüljön alapértelmezés szerint. A tervezés folyamatába beépített, teljes működést támogató adatvédelmi funkciót és kockázatkezelési folyamatokat kell működtetni. A teljes adatkezelési életciklus alatt biztosítani kell az ún.”end-to-end” biztonsági megoldások alkalmazását (pl. adatgyűjtések, adattovábbítások és tárolások esetén a megfelelő szintű titkosítási megoldások alkalmazása, az életciklus végén lévő személyes adatok anonimizálása.)
 
Az új szabályozás szerint kiemelten fontos az átláthatóság – minél nyitottabban történjen a személyes adatok kezelése, valamint a felhasználók magánszférájának védelme – mindezt felhasználó barát módon, a megfelelő funkciók kialakításával. Emiatt a vállalatoknak kiemelt figyelmet kell fordítaniuk nemcsak a fizikai tér és az eszközök elrendezésére, de a technológiai- és információ-biztonságra, valamint az üzleti és támogatói folyamatok megfelelő kezelésére.

A vállalatoknak ügyelniük kell az unió által elfogadott módszertan szerint megvalósított kockázatmenedzsment folyamatok kialakítására és működtetésére, a megfelelő belső kockázatkövetési és jelentési tevékenységekre. Ugyancsak előírás a szükséges szabályzati keretrendszerek és technikai kontrollok megteremtése, akár az adatvédelmi politikáról, az információbiztonságról, az üzleti szabályzatokról vagy az adatminimalizálás elvének technikai érvényesítéséről legyen szó.