W dniu 8 kwietnia 2016 roku Rada Unii Europejskiej przyjęła Rozporządzenie Parlamentu Europejskiego i Rady w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i swobodnym przepływem takich danych (ogólne rozporządzenie o ochronie danych) oraz Dyrektywę w sprawie ochrony danych osobowych przetwarzanych na potrzeby ścigania przestępstw. W dniu 14 kwietnia 2016 roku Rozporządzenie i Dyrektywa zostały przyjęte przez Parlament Europejski. Polska ma dwa lata na dostosowanie swego prawa do nowych unijnych regulacji.
W rozporządzeniu skupiono się przede wszystkim na aktualizacji zasad i praw mających na celu lepszą ochronę danych osób fizycznych oraz nowych wytycznych dla administratorów danych. Rozporządzenie wprowadziło nową definicję danych osobowych. W porównaniu z definicją zawartą w ustawie o ochronie danych osobowych, dokonano rozszerzenia m. in. o identyfikatory on-line rozumiane jako: adresy internetowe protokołów, identyfikatory plików cookie, a nawet znaczniki identyfikacji radiowej RFID. Nowe obowiązki spoczywające na administratorach danych obejmują przede wszystkim przekazywanie osobom fizycznych informacji o przetwarzaniu danych w sposób przejrzysty tak, aby właściciele danych byli świadomi zagrożeń, zasad, gwarancji i praw oraz potrafili z nich korzystać.
