Akt prawny który wszedł w życie 24 maja 2016 r. i będzie obowiązywał od 25 maja 2018 roku. RODO określa zasady przechowywania danych osobowych ich przetwarzania oraz wykorzystywania. Ustawa wprowadza nowe obowiązki, ale również dotkliwe sankcje finansowe.

1. Kogo dotyczy RODO
   Rozporządzenie określa podmioty, których nie dotyczą postanowienia RODO:
   osoby fizyczne, które przetwarzają dane osobowe dla celów osobistych
   nie stosuje się przy przetwarzaniu danych osobowych w zakresie nieobjętym prawem unijnym
   nie dotyczy danych przetwarzanych przez instytucje unijne lub dyplomatyczne
   nie stosuje się przy przetwarzaniu danych zgromadzonych w celu zapobiegania, wykrywania ścigania przestępczości oraz wykonywania zasądzonych kar
2. Prawa właściciela danych osobowych
   Obowiązkiem administratora danych osobowych według Rozporządzenia, jest dostosowanie systemów informatycznych. Administrator zobowiązany jest na każde żądanie osoby, której dane dotyczą, do:
   całkowitego usunięcia jej danych osobowych
   przeniesienia danych do wskazanego podmiotu
   udzielenia pełnych informacji o danych osobowych tej osobie, której dane dotyczą
   udzielenia wyczerpującej odpowiedzi na ewentualne pytania, w terminie 30 dni

Prawo do sprostowania
Rozporządzenie daje prawo wglądu do swoich danych osobowych. Zgodę na przetwarzanie danych osobowych można będzie:
cofnąć
ograniczyć
zmienić

Rozporządzenie wprowadza:
prawo do całkowitego usunięcia danych osobowych
prawo do przenoszenia danych osobowych do innego podmiotu
prawo do informacji
prawo do przeglądania swoich danych osobowych
prawo do sprzeciwu

3. Obowiązek zgłaszania naruszeń
   72 godziny od zdarzenia, które z dużym prawdopodobieństwem może spowodować naruszenie praw i swobód osoby, której dotyczą, należy zawiadomić właściwy organu nadzoru. Można również powiadomić o zaistniuałej sytuacji osobę, której prawa zostały zagrożone naruszeniem.
4. Odpowiedzialność przetwarzającego dane
   Podmioty przetwarzające dane osobowe są zobowiązane do oceny ryzyk związanych z przetwarzaniem danych, w szczególności z użyciem systemów informatycznych. Oznacza to konieczność oceny całokształtu zagrożeń wynikających z przetwarzania danych osobowych, oraz podjęcia czynności organizacyjnych aby zminimalizować zagrożenie. Podmioty muszą ocenić i wykazać, że przyjęte rozwiązania są wystarczające. Na podmiotach ciąży obowiązek przeszkolenia pracowników w zakresie ochrony danych osobowych, procedur, zasad. Działania te mają na celu zgodność działań podmiotu z Rozporządzeniem. Konieczne będzie poszerzenie klauzul dotyczących zgody na przetwarzanie danych osobowych o nowe przepisy, a zwłaszcza o obowiązek informacyjny. Za nieprzestrzeganie postanowień Rozporządzenia, odpowiedzialność ponosi przetwarzający dane. Przedsiębiorca może powołać Inspektora Ochrony Danych Osobowych, lub wykonywać te obowiązki poprzez firmę zewnętrzną, ale nie zwalniago to z odpowiedzialności Administratora danych osobowych.
5. Kary finansowe
   10 mln Euro lub do 2% wartości rocznego światowego obrotu przedsiębiorstwa
   20 mln Euro lub do 4% wartości rocznego światowego obrotu przedsiębiorstwa
   100 tys zł kary administracyjnej, za naruszenia spowodowane przez administrację państwową

Kary te mają być nakładane proporcjonalnie, w zależności od wielkości naruszenia przepisów. Uprawniony do kontroli organ PIODO – Polski Inspektor Ochrony Danych Osobowych, będzie zwracał uwagę min. na:
jakich danych osobowych, to naruszenie dotyczy
działania, podjęte przez administratora
umyślność lub nieumyślność naruszenia
czas trwania, wagę i charakter

6. Podstawa przetwarzania danych
   Przed rozpoczęciem przetwarzania danych osobowych należy:
   określić czy są i jakie są podstawy prawne do przetwarzania danych
   uzyskać dobrowolną zgodę podmiotu na rozpoczęcie przetwarzania danych osobowych
   oświadczenia i zgody muszą być czytelne i zrozumiałe
7. Data Privacy Impact Assessment (DPIA)
   DPIA ? określenie zakresu ryzyka wiążące się z przetwarzaniem danych osobowych. Administrator danych osobowych musi podjąć adekwatne do ryzyka środki mające na celu zapobieżenie ryzyku.
8. Przekazywanie danych poza EOG
   Obowiązkiem Administratora jest posiadanie wiedzy, czy przetwarzane dane będą użytkowane poza Europejskim Obszarem Gospodarczym oraz ustalenie podstaw do transferu danych poza EOG, przy jednoczesnym dopasowaniu procedur w tym zakresie do wymogów Rozporządzenia.
9. Rejestry
   RODO narzuca obowiązek prowadzenia wewnętrznych rejestrów przetwarzania danych osobowych przez Administratorów, zawierających m.in.:
   informacje o przyczynach przetwarzania danych
   odbiorców danych
   kategorie podmiotów
   rejestry naruszeń
   rejestry transferów międzynarodowych
   rejestry zgód na przetwarzanie danych
10. Pseudonimizacja
    Pseudonimizacja ? metoda służąca podniesieniu bezpieczeństwa danych osobowych, polegająca na takim przetwarzaniu danych osobowych ,by nie można ich było przypisać osobie, której dane dotyczą, chyba że za pomocą dodatkowych informacji, oznaczników itp.
11. Profilowanie
    Profilowanie – przetwarzania danych osobowych, do analiz, prognoz, badań.
12. Dane osobowe osób małoletnich
    Dane osób małoletnich podlegają szczególnej ochronie. Informacje muszą być formułowane w jasny, zrozumiały dla osoby małoletniej sposób. Do ukończenia 16 lat zgodę na przetwarzanie danych udzielają rodzice lub prawni opiekunowie.
13. PUODO
    Organ: PUODO, Prezes Urzędu Ochrony Danych Osobowych.