Koncem dubna 2019 nabyl účinnosti zákon o zpracování osobních údajů (zákon č. 110/2019 Sb.), který přinesl dlouho očekávanou adaptaci obecného nařízení EU o ochraně osobních údajů (GDPR) do českého právního řádu. Vzhledem k tomu, že ustanovení GDPR jsou přímo aplikovatelná, představuje tento prováděcí zákon spíše vyplnění „mezer“ než komplexní právní úpravu.
Zákon v souladu s GDPR ustavuje orgán dohledu pro oblast ochrany osobních údajů. Tím dle očekávání zůstává Úřad pro ochranu osobních údajů, který bude i nadále vykonávat všeobecnou kontrolní a dohledovou pravomoc. Působnost úřadu byla nicméně rozšířena o oblast práva na informace dle klasické „stošestky“, kde bude plnit funkci přezkumného orgánu. Úřad se také dočká organizačních změn.
Nad rámec GDPR pak prováděcí zákon přitvrzuje povinnosti správců a zpracovatelů a rozšiřuje práva subjektů údajů. V souladu s evropskou judikaturou upravuje tzv. „právo být zapomenut“. Zákon rovněž zapracovává přípustné výjimky z GDPR – rozšiřuje účely a možnosti zpracování osobních údajů ve veřejném zájmu (obrana, veřejná bezpečnosti) a v souvislosti s novinářskou licencí.
V rámci adaptace dochází též ke změně předpisů, které upravují zpracování osobních údajů v souvislosti s odhalováním a prevencí závažné trestné činnosti; konkrétně zákona o Policii ČR a zákona o civilním letectví. Zavádí se zejména nová pravidla pro vedení a předávání údajů ze jmenné evidence cestujících.