Fontos megérteni, hogy a GDPR nem valami gyökeresen új, előzményekkel nem rendelkező joganyag. Az adatvédelmi jog fél évszázados múlttal rendelkezik Európában, és több évtizedes múlttal Magyarországon is. A GDPR az 1995-ben alkotott Európai Adatvédelmi Irányelv intézményeire épít, azokat részletezi, korrigálja – de nem alkotja az alapoktól újra. A GDPR (General Data Protection Regulation) az Európai Unió új adatvédelmi rendelete, amely a 2018.május 25-ei hatályba lépésével számos változást hoz a vállalkozások adatkezelésébe. Ezek többnyire azzal függenek össze, hogy sokkal nagyobb kontrollt kapnak a felhasználók saját személyes adataik fölött. Kötelezővé teszi a személyes adatok védelmének figyelembe vételét már a tervezési szakaszban (pl. informatikai fejlesztések, új megoldások bevezetése). Bizonyos esetekben a személyes adatokra vonatkozóan hatáselemzést ír elő. Bejelentési kötelezettséget vezet be a személyes adatokkal történő visszaélésekre.
A változások többek között a hozzájárulási nyilatkozatokra, a hozzáférési és tájékoztatási kötelezettségekre vonatkoznak, amelyek komoly elvárásokat támasztanak – a jogi megfelelés mellett – az informatikával szemben is. Mivel minden Európai Unióban tevékenykedő cégre vonatkozik az előírás (pl. a legkisebb webshopra is, ha tárolja és kezeli vásárlói személyes adatait), ezért fontos, hogy megfeleljenünk a követelményeknek. A rendelet be nem tartása komoly bírsággal járhat. Ez az éves árbevétel 4%-át jelenti, vagy maximum 20 millió eurót attól függően, hogy melyik a nagyobb. Magyarországon tagállami hatáskörben marad a betartás ellenőrzése, így a Nemzeti Adatvédelmi és Információbiztonsági Hatóság (NAIH) ellenőrzi és vizsgálja ki a kötelezően bejelentendő incidenseket. De talán még bírságnál is nagyobb kockázatokat jelentenek majd a kártérítési keresetek, amelyekkel a természetes személyek élhetnek.
A Rendeletnek történő megfelelést a 21. században nem lehet letudni egy adatvédelmi szabályzattal. A megfelelés nem kizárólag jogi kérdés: a teljes vállalat (csoport) informatikai, adatbiztonsági és folyamati felkészítése is szükséges, az adatkezeléshez kapcsolódó folyamatok és funkciók az alapoktól vizsgálandók. A jogi kérdéseken túl a megfelelő informatikai működés, folyamatszervezés és információvédelem támogatja a megfelelést a GDPR elvárásainak és segíti a vállalkozás működését. Ezért nem nem áltatánosíthatunk sablonokat minden egyes jogi szereplőre, hiszen minden válalkozás és jogi forma egyedi, ennek megfelelően minden olyan tevékenységnek amis GDPR mevalósítását szolgálja egyedinek kell lenni minden vállakozás esetében is!