1. Niniejsze rozporządzenie wchodzi w życie dwudziestego dnia po publikacji w Dzienniku Urzędowym Unii Europejskiej.

2. Niniejsze rozporządzenie ma zastosowanie od dnia 25 maja 2018 r.

Niniejsze rozporządzenie wiąże w całości i jest bezpośrednio stosowane we wszystkich państwach członkowskich.

1. Dane osobowe muszą być:

a) przetwarzane zgodnie z prawem, rzetelnie i w sposób przejrzysty dla osoby, której dane dotyczą („zgodność z prawem, rzetelność i przejrzystość”);

[...]

2. Administrator jest odpowiedzialny za przestrzeganie przepisów ust. 1 i musi być w stanie wykazać ich przestrzeganie („rozliczalność”).

1. Zbudowanie nowego stanu świadomości pojmowania ochrony danych osobowych (dotyczy tych wszystkich w danej organizacji, którzy mają, być może mają lub będą mieli do czynienia z danymi osobowymi).
2. Zmapowanie (zidentyfikowanie, spisanie, zewidencjonowanie,…) wszystkich tych miejsc (zasobów, procesów, zdarzeń, punktów zatrzymania, obowiązków, procedur,...), w których ma się do czynienia z danymi osobowymi (dotyczy tych wszystkich w danej organizacji, którzy mają, być może mają lub będą mieli do czynienia z danymi osobowymi – tylko z ich udziałem i pomocą daje się zmapować pożądane zasoby).
3. Powstanie rejestru czynności przetwarzania (RCP; dotyczy osób wiodących w zakresie ochrony danych osobowych – RCP jest konsekwencją właściwego zmapowania zasobów).
4. Przegląd zgód, umów, obowiązków prawnych i innych warunków zgodnego z prawem przetwarzania danych osobowych pod kątem ograniczonego celu przetwarzania, minimalizacji danych i prawidłowości przetwarzania (adekwatności do celu i merytorycznej poprawności), ograniczonego przechowywania, integralności i poufności (należy wypracować odpowiedź na pytanie kogo to głównie będzie dotyczyć, w znaczeniu „kto się tym zajmie?”).
5. Wypracowanie nowego modelu wypełniania obowiązku informacyjnego zgodnego z zasadami przejrzystego informowania i przejrzystej komunikacji oraz trybów wykonywania praw przez osobę, której dane dotyczą (należy wypracować odpowiedź na pytanie kogo to głównie będzie dotyczyć, w znaczeniu „kto się tym zajmie?”).
6. Potem jest jeszcze sporo do zrobienia (wybór ma tu charakter dowolny i nie będzie dotyczy wszystkich organizacji):

• uwzględnienie ochrony danych osobowych w fazie projektowania oraz domyślna ochrona danych osobowych;
• zasady dotyczące przetwarzania danych osobowych – więcej niż zgoda;
• przetwarzanie szczególnych kategorii danych osobowych;
• przetwarzanie danych osobowych dzieci – ochrona danych osobowych w podmiotach prawa oświatowego;
• prawa osoby, której dane dotyczą;
• powierzenie przetwarzania danych osobowych (umowa powierzenia);
• ocena ryzyka naruszenia praw lub wolności osób fizycznych w związku z przetwarzaniem danych osobowych;
• zgłaszanie naruszenia ochrony danych osobowych organowi nadzorczemu;
• inspektor ochrony danych osobowych;
• kodeksy postępowania i certyfikacja;
• przekazywanie danych osobowych do państw trzecich lub organizacji międzynarodowych;
• prawo do odszkodowania i odpowiedzialność;
• ...