RODO będzie obowiązywać we wszystkich krajach UE od 25 maja 2018 roku. Zmianie ulegną obecne przepisy dotyczące ochrony danych osobowych, jakie obowiązują w Polsce. Dostosowanie procesu technicznego i organizacyjnego do nowych zasad będzie leżało po stronie każdego przedsiębiorcy, który w jakikolwiek sposób przetwarza dane osób fizycznych.
Najważniejszy obowiązek właściciela firmy to zapewnienie rozwiązań organizacyjnych oraz technicznych, które będą gwarantować należytą ochronę danych osobowych. RODO nie określa wprost formy zabezpieczenia danych, ale wskazuje, co musi zostać spełnione.
Po pierwsze obowiązywać będzie zasada tzw. privacy by default, czyli zastosowanie takich ustawień systemów informatycznych, by prywatność była chroniona domyślnie. Wszelkie działania związane z przetwarzaniem danych osobowych wymagać będą wyraźnej zgody osoby fizycznej, którą może ona w dowolnym momencie cofnąć – obowiązkiem przedsiębiorcy jest powiadomienie jej o tym prawie jeszcze przed wyrażeniem zgody.
Kolejnym prawem, jakie wprowadza RODO jest „prawo do bycia zapomnianym”, czyli żądanie konsumenta usunięcia podanych danych osobowych, bez względu na to, czy są one obecnie przetwarzane czy już nie oraz do jakich celów zostały zebrane. Administrator danych osobowych może również otrzymać od osoby fizycznej żądanie przekazania jej danych osobowych bezpośrednio innemu, wskazanemu przez nią administratorowi. Jeśli jest to technicznie możliwe, przedsiębiorca będzie musiał dokonać takiego transferu.
Warto pamiętać, że RODO wprowadza nie tylko zasady dotyczące ochrony danych osobowych, ale także wysokie kary finansowe dla tych przedsiębiorstw, które nie będą stosować się do przepisów. Mogą one wynieść nawet do 4% całkowitego rocznego obrotu firmy, a w przypadku naruszenia praw osób lub zasad ochrony osobowej – nawet 20 mln EUR.