Henkilötietojen käsittelyä koskevan EU:n yleisen tietosuoja-asetuksen soveltaminen alkoi kaikissa EU:n jäsenvaltioissa toukokuussa. Yleinen tietosuoja-asetus korvasi vuonna 1995 annetun Euroopan parlamentin ja neuvoston henkilötietojen käsittelyä sekä näiden tietojen vapaata liikkuvuutta koskevan henkilötietodirektiivin 95/46/EY. Vaikka tietosuoja-asetus hyväksyttiin jo huhtikuussa 2016, tuli se velvoittavaksi säädökseksi kahden vuoden siirtymäajan jälkeen, jonka aikana organisaatioiden oli arvioitava ja muutettava toimintansa vastaamaan tietosuoja-asetuksen sekä kansallisen lainsäädännön vaatimuksia. Tietosuoja-asetus koskettaa lähtökohtaisesti kaikkia EU-alueella toimivia organisaatioita, mutta myös EUalueen ulkopuolisia organisaatioita, jotka käsittelevät EU:n kansalaisten henkilötietoja.
Tietosuoja-asetuksen tarkoituksena on yhdenmukaistaa luonnollisten henkilöiden henkilötietojen käsittelyä EU-alueella, suojella yksilön perusoikeuksia ja –vapauksia, mahdollistaa henkilötietojen vapaa liikkuvuus EUjäsenvaltioiden välillä sekä velvoittaa rekisterinpitäjiä toimimaan suunnitellusti ja osoittamaan asetuksen vaatimusten mukainen toiminta. Vaikka EU:n yleinen tietosuoja-asetus on jo itsessään sovellettavissa oleva asetus koko EU-alueella, jättää se jäsenvaltioille kansallista liikkumavaraa mahdollistaen asetuksen täydentämisen ja täsmentämisen. Jokaisen EU:n jäsenvaltion on mahdollista täsmentää asetuksen liikkumavaraa kansallisella henkilötietojen käsittelyä koskevalla lainsäädännöllä.
Suomessa EU:n yleistä tietosuoja-asetusta täydennettäisiin sitä koskevalla tietosuojalailla sen toimiessa samalla henkilötietojen käsittelyä koskevana yleislakina. Jatkossa tietosuojalaki toimisi tietosuoja-asetusta täydentävänä ja täsmentävänä säädöksenä, eikä se siten toimisi itsessään noudatettavana säädäntönä, vaan sitä sovellettaisiin rinnakkain yhdessä tietosuoja-asetuksen kanssa. Kansallisen tietosuojalain oli alun perin tarkoitus astua voimaan samanaikaisesti tietosuoja-asetuksen kanssa, mutta lain käsittely on viivästynyt. Hallitus antoi eduskunnalle esityksen uudesta tietosuojalaista maaliskuussa. Esitys on parhaillaan eduskunnan käsittelyssä ja tämän hetkisen arvion mukaan eduskunnan on tarkoitus käsitellä ja mahdollisesti hyväksyä ehdotus tulevana syksynä.
Uuden tietosuojalain hyväksyntä toisi muutoksia nykyisiin henkilötietojen käsittelyä koskeviin lakeihin. Eduskunnalle toimitetussa esityksessä on ehdotettu, että samanaikaisesti uuden lain hyväksynnän kanssa kumottaisiin nykyinen henkilötietolaki, joka hyväksyttiin Suomessa vuonna 1999 aikaisemman henkilötietodirektiivin täytäntöön panemiseksi. Ehdotuksen mukaan uudella henkilötietolailla kumottaisiin myös sekä lait tietosuojalautakunnasta että tietosuojavaltuutetusta.
Tietosuojalautakuntaa ja tietosuojavaltuutettua koskevien lakien kumoaminen tarkoittaa sitä, että uudessa tietosuojalaissa määritellään henkilötietojen käsittelyä koskevasta valvontaviranomaisesta. Lakiehdotuksen mukaan valvovan viranomaisen tehtävät Suomessa keskitettäisiin jatkossa tietosuojavaltuutetulle ja samalla nykyisenkaltaisen tietosuojalautakunnan tehtävät lakkautettaisiin. Tietosuojavaltuutetun toimiston henkilöstömäärää kasvatettaisiin useammalla apulaistietosuojavaltuutetulla, jotka toimisivat tietosuojavaltuutetun oikeuksin. Tietosuojavaltuutetun toimistoon perustettaisiin lisäksi asiantuntijalautakunta koostuen sivutoimisista jäsenistä, jotka antaisivat lausuntoja tietosuojavaltuutetun pyynnöstä henkilötietojen käsittelyn soveltamiseen liittyvissä kysymyksissä.
Ilman voimassa olevaa tietosuojalakia tietosuojaviranomaisilla ei ole täyttä valtuutta toimia tietosuojaasetuksen mukaisesti, mikä hankaloittaa valvontaviranomaisten tehtävien toteuttamista. Lisäksi asetuksen soveltaminen ilman tarkentavaa lainsäädäntöä voi aiheuttaa tulkintaongelmia hankaloittaen asetuksen mukaisten oikeuksien toteutumista. Jo pelkästään näiden syiden takia olisi toivottavaa, että tietosuojalaki saataisiin hyväksyttyä mahdollisimman pian.