Rozporządzenie ogólne weszło w życie już 24 maja 2016 roku. Jednak termin jego stosowania został ustalony na 25 maja 2018 roku. Prawodawca unijny przewidział więc dwuletni okres dla państw członkowskich – na dostosowanie krajowych ram prawnych do nowej regulacji oraz dla administratorów i podmiotów przetwarzających – na odpowiednie przygotowanie się do stosowania przepisów RODO.
Dzięki temu, podmioty zobowiązane do stosowania RODO zyskały czas na przegląd funkcjonujących w ich organizacjach środków technicznych i organizacyjnych zabezpieczających dane i ich analizę pod kątem wymagań rozporządzenia ogólnego. Ważnym zadaniem w okresie przygotowawczym jest także weryfikacja możliwości realizacji praw osób, których dane dotyczą, zwłaszcza, że realizacja niektórych z nich wymagać może odpowiedniej infrastruktury.
Czas oczekiwania na rozpoczęcie stosowania nowych przepisów wykorzystuje także Grupa Robocza Art. 29, przygotowując wytyczne, które mają ułatwić prawidłową interpretację przepisów RODO. Wytyczne te, po 25 maja 2018 roku, będą mogły być poddane analizie i ewentualnej korekcie przez Europejską Radę Ochrony Danych Osobowych. Grupa Robocza opracowała wytyczne dotyczące inspektora ochrony danych, prawa do przenoszenia danych, ustalenia wiodącego organu nadzorczego właściwego dla administratora lub podmiotu przetwarzającego, oceny skutków dla ochrony danych, zgłaszania naruszeń i profilowania.
W związku z powstaniem nowych unijnych ram prawnych ochrony danych osobowych z dniem 25 maja 2018 rok uchylona zostanie dyrektywa 95/46/WE. Zmianie ulegną też krajowe ramy prawne. Samo RODO ma zasięg ogólny i jest bezpośrednio stosowane we wszystkich państwach członkowskich, ale dla jego stosowania konieczne jest uregulowanie pewnych kwestii proceduralnych czy też zasad funkcjonowania organu nadzorczego. W Polsce przedstawiono i poddano konsultacjom społecznym projekt nowej ustawy o ochronie danych osobowych, a także przepisów wprowadzających tę ustawę i zmieniających szereg innych aktów prawnych tak, by dostosować je do RODO.
Kolejną kwestią związaną z ramami czasowymi obowiązywania RODO i brakiem przepisów przejściowych w tym akcie prawnym, jest sposób organizacji przetwarzania już toczącego się 25 maja 2018 roku. Zgodnie z przepisami rozporządzenia ogólnego, przetwarzanie, które w dniu rozpoczęcia stosowania RODO już się toczy, powinno w terminie dwóch lat od wejścia RODO w życie (czyli od 24 maja 2016 roku) zostać dostosowane do jego przepisów. Jeżeli przetwarzanie odbywa się na podstawie zgody, osoba, której dane dotyczą, nie musi jej ponownie wyrażać, jeżeli pierwotny sposób jej wyrażenia odpowiada warunkom określonym w RODO.
Uwzględniając specyfikę RODO, warto pomyśleć o przygotowaniu się do stosowania nowych wymogów już dziś tak, jak najlepiej dostosować się do nowych ram prawnych ochrony danych osobowych.