Trước đây, các quy định về bảo vệ thông tin cá nhân không thống nhất giữa các nước EU. Trải qua quá trình làm luật gần 10 năm, bắt đầu từ năm 2009 đến tháng 5.2018, GDPR mới được chính thức áp dụng thống nhất trên toàn EU. GDPR được coi là một bộ quy tắc mới, nhằm cung cấp cho công dân EU quyền kiểm soát nhiều hơn đối với dữ liệu cá nhân.
EU cho biết GDPR được thiết kế để "hài hòa hóa" luật bảo mật dữ liệu trên tất cả các quốc gia thành viên cũng như cung cấp sự bảo vệ và quyền nhiều hơn cho các cá nhân. GDPR được tạo ra cũng để thay đổi cách các doanh nghiệp và tổ chức có thể xử lý thông tin của những người tương tác với họ. Có khả năng bị phạt nặng và thiệt hại về uy tín đối với những người bị phát hiện vi phạm các quy tắc.
Quy định đã đưa ra những thay đổi lớn dựa trên các nguyên tắc bảo vệ dữ liệu trước đó. Do đó, nhiều người trong giới bảo vệ dữ liệu, bao gồm cả ủy viên thông tin của Vương quốc Anh Elizabeth Denham, ví GDPR như một cuộc cách mạng chứ không phải là một cuộc đại tu toàn bộ các quyền. Denham cho biết, đối với các doanh nghiệp đã tuân thủ các quy tắc trước GDPR, quy định này phải là một "bước thay đổi".
GDPR được đánh giá là tạo ra cơ chế bảo vệ thông tin cá nhân khắt khe nhất trên thế giới hiện nay. Đặc biệt, việc tách biệt quyền bảo vệ thông tin cá nhân ra khỏi quyền riêng tư trong GDPR đã cho thấy quan điểm ngày càng chú trọng quyền bảo vệ thông tin cá nhân của EU. Từ đó hình thành nên cơ chế bảo vệ mạnh mẽ đối với việc thực thi quyền bảo vệ thông tin cá nhân.
GDPR là một luật khung
GDPR có thể được coi là bộ quy tắc bảo vệ dữ liệu mạnh nhất thế giới. Quy định này tồn tại dưới dạng khuôn khổ cho các luật trên toàn lục địa và thay thế chỉ thị bảo vệ dữ liệu năm 1995 trước đó. Văn bản cuối cùng của GDPR được đưa ra sau hơn 4 năm thảo luận và đàm phán - đã được cả Nghị viện châu Âu và Hội đồng châu Âu thông qua vào tháng 4.2016. Quy định và chỉ thị cơ bản đã được xuất bản vào cuối tháng đó.
Tuy nhiên, phải đợi 2 năm sau, tức vào ngày 25.5.2018, GDPR mới chính thức có hiệu lực. Độ trễ 2 năm này là để tạo điều kiện cho quốc gia ở châu Âu thực hiện hài hòa GDPR với pháp luật sở tại. Ở Vương quốc Anh, sự linh hoạt này đã dẫn đến việc thông qua Đạo luật bảo vệ dữ liệu (2018), thay thế cho Đạo luật bảo vệ dữ liệu năm 1998 trước đó.
Đối tượng áp dụng
Trọng tâm của GDPR là dữ liệu cá nhân. Nói chung, đây là thông tin cho phép một người đang sống được xác định trực tiếp hoặc gián tiếp từ dữ liệu có sẵn. Chẳng hạn như tên của một người, dữ liệu vị trí hoặc tên người dùng trực tuyến hoặc có thể là điều gì đó ít rõ ràng hơn: địa chỉ IP và số nhận dạng cookie cũng có thể được coi là dữ liệu cá nhân.
Về phía người dùng, điều luật GDPR không chỉ bảo vệ quyền lợi của cư dân châu Âu nói riêng mà còn áp dụng cho bất kỳ người nào có sử dụng dịch vụ do một công ty đặt tại châu Âu cung cấp. Ví dụ như một người đang ở Việt Nam nhưng truy cập vào tờ Le Monde của Pháp đọc tin tức thì Le Monde vẫn có nghĩa vụ phải bảo vệ dữ liệu cá nhân của bạn. Hoặc khi bạn tra cứu tài liệu du học trên Hotcourses Vietnam ở bất kỳ đâu trên thế giới thì chúng tôi vẫn có trách nhiệm trong việc bảo mật mọi thông tin người dùng của bạn.
Về phía các doanh nghiệp, họ sẽ phải tuân theo các quy định cụ thể và rõ ràng của GDPR về cách thức thu thập thông tin cá nhân, địa điểm dữ liệu được chia sẻ và những loại thông tin nào của người dùng được sử dụng. Đối với các công ty không thuộc châu Âu nhưng có cung cấp dịch vụ cho cư dân châu Âu thì vẫn phải chấp hành theo điều luật GDPR. Ví dụ: nếu một doanh nghiệp ở Hoa Kỳ nhưng có hoạt động kinh doanh liên quan đến dữ liệu thông tin của công dân EU thì vẫn phải tuân thủ GDPR.
Điều luật này sẽ được áp dụng cho toàn bộ 28 thành viên trong EU bao gồm cả Vương quốc Anh (UK) dù trên lý thuyết UK đang trong quá trình rời khỏi EU sau sự kiện Brexit vào năm 2016.