Brzmienie ustawy sprzed zmian ustanawiało dla administratorów danych obowiązek wyznaczania funkcji ABI. Nowelizacja dała im możliwość decydowania, czy będą samodzielnie odpowiadać za zgodne z ustawą przetwarzanie danych osobowych, czy też powołają ABI i część obowiązków przeniosą na nich. W przypadku niepowołania ABI, administrator danych osobowych musi dokonać rejestracji wszystkich wymaganych prawem zbiorów. Jeśli go powoła – jest z tego obowiązku zwolniony, chyba że posiada zbiory zawierające dane wrażliwe.
Odbierz pakiet bezpłatnych poradników i mikroszkoleń RODO
Wprowadzone zmiany wychodzą naprzeciw zarówno przedsiębiorcom jak i osobom, których dane są przetwarzane. Dla przedsiębiorców, poza opcjonalnym powołaniem ABI, kluczowym stało się także wdrożenie zabezpieczeń przewidzianych w art. 36a-36c. Niezależnie bowiem od tego, jaki model wewnętrznego przestrzegania przepisów o ochronie danych osobowych administrator danych wybierze, dane winny być odpowiednio zabezpieczone.
Nowelizacja umożliwiła również przesyłanie danych poza granice Polski bez konieczności każdorazowego uzyskiwania zgody GIODO w sytuacji gdy państwo trzecie do którego dane mają być przekazane nie zapewnia na swoim terytorium odpowiedniego poziomu ochrony danych osobowych. Dotyczy to dwóch sytuacji – gdy zastosowano standardowe klauzule umowne, zatwierdzone przez Komisję Europejską lub gdy zastosowano prawnie wiążące reguły korporacyjne, zatwierdzone przez GIODO.
Na szczeblu unijnym toczą się obecnie dyskusje na temat zmian w przepisach dotyczących ochrony danych. Wymusiły je m.in.: coraz większa rola internetu i urządzeń mobilnych oraz powszechne korzystanie z usług świadczonych drogą elektroniczną. Dużym zainteresowaniem cieszy się również temat prawa do bycia zapomnianym, którego wprowadzenie jest szeroko krytykowane jako technicznie trudne do zastosowania i pociągające za sobą nadmierne obciążenie dla administratorów danych.
Celem przyświecającym stworzeniu unijnego rozporządzenia jest ujednolicenie standardów ochrony prywatności na terenie całej Unii Europejskiej. W momencie wejścia rozporządzenia w życie będzie ono bezpośrednio obowiązywało we wszystkich państwach członkowskich.
Proces reformy przepisów unijnych został zapoczątkowany w 2012 r. wraz z projektem kompleksowej reformy przedstawionym przez Komisję Europejską. Najnowsze zmiany do tego projektu zostały wprowadzone w czerwcu tego roku przez Radę Unii Europejskiej.
Zmiany te w dużej mierze łagodzą brzmienie pierwotnej wersji projektu. Przykładowo, z procesu nakładania grzywien administracyjnych usunięto czynniki, które wzbudzały kontrowersje wprowadzono dowolność w zakresie powołania inspektora ochrony danych (ABI), wykreślono unormowania dotyczące prowadzonej przez administratora danych dokumentacji, czy wydłużono terminy wykonania niektórych czynności, np. zgłoszenia naruszenia ochrony danych osobowych organowi nadzorczemu – z 24 do 72 godzin.
Rada zaproponowała również dopuszczenie możliwości zmiany celu przetwarzania danych osobowych w przypadku uzasadnionych interesów administratora danych lub strony trzeciej o ile interesy te mają charakter nadrzędny wobec interesów podmiotu danych uksemburski minister sprawiedliwości Félix Braz zapowiedział chęć zakończenia prac nad projektem unijnego rozporządzenia dot. ochrony danych osobowych do końca 2015 r. Termin ten wydaje się jednak mało realny zwłaszcza w obliczu kontrowersji, jakie wzbudzają niektóre z zaproponowanych zmian.