Rozporządzenie Parlamentu Europejskiego i Rady o ochronie danych z kwietnia 2016 roku (RODO) zacznie obowiązywać od 25 maja 2018 roku.
Wprowadzono zupełnie nowe podejście do ochrony danych osobowych. Pojawi się przede wszystkim obowiązek administratora danych samooceny pod kątem oszacowania skutków przetwarzania dla ochrony danych i ewentualnego ryzyka (z angielskiego: risk-based approach). Obejmie on weryfikację przetwarzanych danych, ocenę zagrożeń związanych z przetwarzaniem konkretnych danych osobowych oraz planowane środki, zabezpieczenia i mechanizmy w celu zminimalizowania zagrożeń.
Ocenę skutków dla ochrony danych trzeba będzie przeprowadzić przed rozpoczęciem ich przetwarzania. Będzie ona obowiązkowa w dwóch przypadkach. Po pierwsze, gdy charakter, zakres, kontekst i cele danego rodzaju przetwarzania z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Po drugie, gdy decyzją organu nadzoru (np. GIODO) dany rodzaj operacji przetwarzania podlega obowiązkowej ocenie.
Profilowanie
Rozporządzenie reguluje zasady profilowania. W przepisach pojawia się legalna definicja tego pojęcia. W myśl przepisów profilowanie oznacza dowolną formę zautomatyzowanego przetwarzania danych osobowych, które polega na wykorzystaniu tych danych do oceny niektórych czynników osobowych osoby fizycznej, w szczególności do analizy lub prognozy aspektów dotyczących efektów pracy tej osoby, jej sytuacji ekonomicznej, zdrowia, osobistych preferencji, zainteresowań, wiarygodności, zachowania, lokalizacji lub przemieszczania się.
Profilowanie będzie legalne, gdy: