Téměř po roce od účinnosti nařízení GDPR byl Parlamentem ČR schválen adaptační zákon o zpracování osobních údajů, který nahrazuje dosavadní zákon č. 101/2000 Sb., o ochraně osobních údajů, v platném znění.
Vzhledem k tomu, že evropské nařízení GDPR má přímé účinky, což znamená, že práva a povinnosti z něj vyplývající jsou přímo závazná i pro české subjekty, plní schválený zákon pouze určitou doplňující funkci k již účinnému nařízení GDPR. Jeho úkolem je tak zejména upravit některé oblasti, kde to nařízení GDPR výslovně dovoluje, a dále upravit fungování Úřadu pro ochranu osobních údajů.
Schválený zákon mimo jiné například stanovuje hranici pro způsobilost dítěte k udělení souhlasu se zpracováním osobních údajů v souvislosti s nabídkou služeb informační společnosti (např. zpracování osobních údajů provozovateli sociálních sítí) na 15 let.
Pokud správce zpracovává osobní údaje z titulu splnění povinnosti, která je správci uložena právním předpisem, umožňuje zákon správci informace v rozsahu odpovídajícím jím obvykle prováděnému zpracování osobních údajů poskytnout zveřejněním způsobem umožňujícím dálkový přístup.
Dále rovněž zákon stanovuje výjimku z provádění posuzování vlivu zpracování na ochranu osobních údajů před jeho zahájením, pokud povinnost takové zpracování osobních údajů provést vyplývá správci ze zákona.
Nový zákon o zpracování osobních údajů byl 24. 4. 2019 vyhlášen ve sbírce zákonů a účinnosti nabyl téhož dne.