Celem prowadzonych aktualnie prac jest przyjęcie rozporządzenia, co według planów ma nastąpić jeszcze w tym roku. Gdyby rozporządzenie zostało opublikowane na początku 2016 r., jego wejście w życie nastąpiłoby najprawdopodobniej na początku 2018 r. W czasie czerwcowego spotkania Rada Ministrów zgodziła się z wieloma ważnymi propozycjami Komisji zaprezentowanymi na początku 2012 r. Najbardziej istotne kwestie, wynikających z ustaleń Rady:
- pozostawiono ideę „one-step shop” dla konsumentów (będą mogli wnieść skargę do swojego krajowego organu ochrony danych osobowych na dowolnego administratora danych z UE). Z kolei „one-stop shop” po stronie przedsiębiorców zostało nieco rozmyte, ponieważ każdy organ ochrony mógłby prowadzić postępowanie w sprawie podmiotów z grupy kapitałowej;
- kary pieniężne zostałyby ustalone na maksymalnym poziomie do 1 miliona euro lub do 2% wartości globalnego obrotu;
- państwa członkowskie mogłyby kształtować zakres stosowania rozporządzenia do podmiotów sektora publicznego;
- przetwarzanie danych dla celów związanych publicznymi archiwami, celów naukowych, statystycznych oraz badań historycznych nie będzie uznane za niezgodne z pierwotnym celem gromadzenia danych;
- przetwarzanie danych sensytywnych będzie dozwolone dla celów dochodzenia roszczeń, archiwów publicznych oraz zdrowia publicznego;
- przetwarzający dane na zlecenie będą musieli uzyskiwać zgody administratorów danych na każde dalsze powierzenie danych;
- notyfikacja naruszeń ochrony danych osobowych do organu ochrony danych będzie wymagana tylko w szczególnych przypadkach. Ocena wpływu na prywatność (privacy impact assessment) również będzie wymagana tylko w szczególnych przypadkach wysokiego ryzyka naruszenia ochrony;
- powołanie urzędnika ds. ochrony danych (Data Protection Officer) będzie dobrowolne, z wyjątkiem określonych przypadków (państwa członkowskie będą mogły określać takie przypadki).