Den 24 juni 2015 inledde Rådet, Parlamentet och Kommissionen trepartsförhandlingar om förslaget till att införa en dataskyddsförordning. Förslaget presenterades för första gången i mars 2012 och har sedan dess bearbetats i flera omgångar.
Förhoppningen är att förordningen ska bidra till en mer enhetlig personuppgiftsbehandling bland företag inom EU eftersom alla länder inom EU då kommer att ha samma lag. Utgångspunkten i förslaget är att förstärka individers rätt till integritet, utan att för den delen hämma företags framväxt på den inre digitala marknaden. Förslaget ställer därför ökade krav på den personuppgiftsansvarige, och några av de förändringar som presenterades 2012 och som fortsättningsvis diskuteras är följande:
- Definitionen av vad som utgör ett giltigt samtycke till personuppgiftsbehandling omformuleras och förtydligas
- En ”rätt att bli bortglömd” införs vilket innebär att företag på den registrerades begäran ska radera dennes personuppgifter, samt se till att företag till vilka personuppgifterna kan ha spridits också raderar dessa
- Den registrerade tilldelas en rätt att begära att lagrade personuppgifter om personen överförs från ett företag till ett annat genom bestämmelsen om dataportabilitet
Eftersom förslaget om dataskyddsförordningen fortfarande är under behandling är det ännu inte klart vilka förändringar som slutgiltigt kommer genomföras. När dataskyddsförordningen väl träder ikraft kommer den direkt bli gällande som lag i Sverige och resten av EU. Den ersätter då Personuppgiftslagen (PuL) och dataskyddsdirektivet som i skrivande stund reglerar området för personuppgiftsbehandling. Förhoppningen är att ett färdigt förslag till en dataskyddsförordning presenteras innan årsskiftet 15/16, men det dröjer två år från det att förordningen träder ikraft till dess att de nya reglerna blir lagstiftning. Företag har därför fortfarande god tid på sig att se över sin personuppgiftsbehandling och åtgärda eventuella brister.