W związku z wejściem w życie RODO administratorów danych osobowych czekają nowe obowiązki. Jedna z nowych zasad, która dotyczy wycieku danych osobowych, zakłada, że w przypadku gdy naruszenie ochrony danych osobowych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator bez zbędnej zwłoki zawiadamia osobę, której dane dotyczą, o takim naruszeniu.
Model postępowania przed prezesem nowego urzędu w sprawie naruszenia przepisów o ochronie danych osobowych, nie zabezpiecza właściwie interesów przedsiębiorców. Wątpliwości budzi możliwość wstrzymania wykonania decyzji urzędu, ale tylko w zakresie dotyczącym administracyjnej kary pieniężnej, nie zaś, np. w sytuacji ograniczenia lub zakazu przetwarzania danych osobowych. Projekt ustawy o ochronie danych osobowych, mimo minusów, stara się jednak wyjść naprzeciw oczekiwaniom przedsiębiorców - uważa Konfederacja Lewiatan.
Zgodnie z art. 40 z dnia 29 sierpnia 1997 r. o ochronie danych osobowych, administrator danych jest obowiązany zgłosić zbiór danych do rejestracji Generalnemu Inspektorowi Ochrony Danych Osobowych, z wyjątkiem przypadków wskazanych w art. 43 ustawy. Podmiotem określonej w przepisie normy prawnej jest każdy administrator danych, przez którego zgodnie z art. 7 pkt 4 ustawy rozumie się organ, jednostkę organizacyjną, podmiot lub osobę fizyczną lub osobę prawną , które decydują o celach i środkach przetwarzania danych osobowych.
W dniu 16 marca 2015 r. Prezydent skierował do Trybunału Konstytucyjnego wniosek w trybie kontroli prewencyjnej w sprawie nowelizacji ustawy prawo o ustroju sądów powszechnych. We wniosku Prezydent zarzucił ustawie niezgodność z konstytucją nowych przepisów, dotyczących uprawnień Ministra Sprawiedliwości w ramach kontroli administracyjnej. Jednym z powodów, dla których wniosek został skierowany, była ochrona danych osobowych. Zdaniem Prezydenta, nowe przepisy mogą spowodować naruszenie prawa do ochrony danych, w tym danych wrażliwych.
Coraz częściej podnoszone są głosy, że zgoda jako przesłanka legalizująca przetwarzanie danych jest nadużywana i staje się, nie do końca słusznie, centralną, kluczową przesłanką. Dlatego też, coraz częściej mówi się o potrzebie odwoływania się do pozostałych przesłanek przetwarzania, w tym do przesłanki prawnie usprawiedliwionego celu.