Wśród przyczyn prowadzenia europejskiej reformy ochrony danych osobowych wskazywano między innymi nadmierny formalizm dotychczasowych przepisów oraz różny stopień i sposób implementacji dyrektywy 95/46/WE w państwach członkowskich. Poza tym, m.in. w Polsce prawodawca krajowy postanowił dość precyzyjnie i szczegółowo uregulować kwestie związane z zabezpieczeniem danych przetwarzanych i papierowo i elektronicznie. To było przyczyną nieadekwatności przepisów do dynamicznie rozwijającej się cyfrowej rzeczywistości, wymagającej bardziej elastycznych ram prawnych.
Dlatego właśnie w rozporządzeniu ogólnym pozostawiono znacznie większą swobodę administratorowi i zdecydowano o rezygnacji z niektórych, uciążliwych obowiązków.
Od 25 maja 2018 roku nie będzie już trzeba prowadzić i utrzymywać polityki bezpieczeństwa danych osobowych i instrukcji zarządzania systemem informatycznym w dotychczasowym kształcie (link: https://portalodo.com/niezbedne-minimum-czyli-co-kazda-dokumentacja-przetwarzania-danych-zawierac-powinna/) , ustalonym przez rozporządzenie z 2004 roku (rozporządzenie Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 roku w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych). Poza tym, nie będą już obowiązywały wymagania techniczne i organizacyjne dla urządzeń i systemów informatycznych, zawarte w tym akcie prawnym. W rozporządzeniu ogólnym nie znalazły się żadne sztywne i bezwzględnie wymagane zabezpieczenia, ponieważ jednym z głównych założeń RODO jest technologiczna neutralność.
To oznacza, że to na administratorze ciążyć będzie wybór konkretnych rozwiązań i środków technicznych i organizacyjnych, zabezpieczających dane w sposób adekwatny do szeroko rozumianego kontekstu przetwarzania i ustalonych ryzyk dla praw lub wolności osób, których dane dotyczą.
Administrator nie będzie miał także obowiązku nadawania upoważnień i ich ewidencjonowania w sposób znany z art. 37 i 39 ustawy o ochronie danych osobowych.
Prawodawca unijny zdecydował także o rezygnacji z obowiązku zgłaszania zbiorów danych do GIODO. Nie będzie funkcjonował także rejestr zbiorów prowadzony dziś przez ABI.
Czy to oznacza, że system ochrony danych będzie całkowicie odformalizowany? Nie. RODO przewiduje bowiem nowe obowiązki, wymagające także odpowiedniego dokumentowania działań administratora lub podmiotu przetwarzającego lub sformalizowanych kontaktów z organem nadzorczym. I tak, rozporządzenie ogólne przewiduje, gdy jest to w ocenie administratora uzasadnione, wprowadzanie polityk ochrony danych osobowych, prowadzenie rejestru czynności lub kategorii czynności przetwarzania, dokumentowanie naruszeń, zgłaszanie naruszeń organowi nadzorczemu, zawiadamianie podmiotu danych o naruszeniach, prowadzenie oceny skutków dla ochrony danych, prowadzenie uprzednich konsultacji, czy też odpowiednie dokumentowanie relacji powierzenia przetwarzania. Tym samym, organizacja systemu ochrony danych osobowych zgodnie z RODO także będzie wymagać ustalania pewnych procedur, opisywania wykonywanych działań i analiz czy dokumentowania zaistniałych zdarzeń, mających znaczenie dla tego systemu. Warto jednak pamiętać, że RODO nie narzuca dla tych elementów bardzo sztywnych ram treściowych, ani formalnych. Pozwala na prowadzenie dokumentacji tradycyjnie, papierowo, ale dopuszcza też formę elektroniczną. To oznacza, że podmioty zobowiązane do stosowania nowych przepisów będą miały większą łatwość w organizacji systemu ochrony danych, zgodnie ze specyfiką własnej organizacji.