Dotychczasowy stan prawny w obszarze danych osobowych ulegnie zmianie w dniu 25 maja 2018 r. wraz z wejściem w życie ogólnego rozporządzenia o ochronie danych (Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE; w skrócie RODO). Zmiany, jakie zostaną wprowadzone przez nowe przepisy mogą okazać się sporym wyzwaniem dla przedsiębiorców przetwarzających dane osobowe. RODO niesie jednak ze sobą także nowe możliwości. Nie pomija przy tym podmiotów funkcjonujących w ramach grup kapitałowych, dla których przewiduje szczególne rozwiązania nieznane obowiązującej wciąż Ustawie o ochronie danych osobowych.
Rozporządzenie posługuje się w swojej treści nie tyle stricte pojęciem „grupy kapitałowej", co „grupą przedsiębiorstw", ale wedle zawartej w nim definicji, grupa przedsiębiorstw oznacza „przedsiębiorstwo sprawujące kontrolę oraz przedsiębiorstwa przez nie kontrolowane". Pozwala to na przyjęcie, że wszelkie przepisy odnoszące się do tej grupy, znajdą zastosowanie do grupy kapitałowej w rozumieniu naszych przepisów krajowych. Wśród nowych rozwiązań dedykowanych grupom kapitałowym trzeba wskazać na dwa zasadnicze tj. możliwość powołania wspólnego dla całej grupy Inspektora Danych Osobowych (w skrócie IDO), a także doprecyzowanie przepisów w zakresie wiążących reguł korporacyjnych.
Obowiązująca jeszcze ustawa o ochronie danych osobowych nie przewiduje specjalnego trybu dla przetwarzania danych osobowych w grupie kapitałowej. Według dotychczasowych regulacji, w myśl art. 7 pkt 4 ustawy, każdy z podmiotów wchodzących w skład grupy kapitałowej jest odrębnym administratorem danych decydującym o celach i środkach przetwarzanych danych. Oznacza to, że wymiana danych osobowych w grupie kapitałowej powinna odbywać się tak, jakby były to zupełnie odrębne i niezależne od siebie podmioty. Każdy z nich zatem, w świetle Ustawy o ochronie danych osobowych, powinien wyznaczyć własne standardy dotyczące ochrony danych osobowych.
Omawiane rozporządzenie zmienia w tym zakresie znacząco dotychczasowe zasady, zgodnie z art. 37 ust. 2 RODO: „Grupa przedsiębiorstw może wyznaczyć jednego inspektora ochrony danych, o ile można będzie łatwo nawiązać z nim kontakt z każdej jednostki organizacyjnej". Ponadto, zgodnie z art. 37 ust. 6 RODO, dopuszcza się aby „inspektor ochrony danych był członkiem personelu administratora lub podmiotu przetwarzającego lub wykonywał zadania na podstawie umowy o świadczenie usług".
Warto zauważyć, że inspektor danych osobowych, o którym mówi RODO jest odpowiednikiem dotychczasowego administratora bezpieczeństwa informacji (ABI), z tym że zachodzą pewne różnice. Powołanie ABI w obowiązującym jeszcze systemie jest w pełni dobrowolne, a RODO wprowadza obowiązek powołania IDO w każdym przypadku wskazanym przez rozporządzenie. Grupa Robocza Art. 29, zajmująca się określaniem wytycznych dotyczących ochrony danych osobowych, przygotowała również wytyczne dotyczące obowiązkowego wyznaczania inspektora ochrony danych, a także jego statusu i zadań. Wytyczne mają na celu ułatwienie administratorom oraz podmiotom przetwarzającym dane osobowe określenie, czy od dnia 25 maja 2018 r. będą mieli obowiązek wyznaczenia takiego inspektora.