EU:n tietosuojalainsäädännön uudistaminen lähti liikkeelle vuonna 2012. EU:n tietosuojalainsäädäntö oli jäänyt jälkeen kehityksestä, eikä vastannut enää globaalin tietoympäristön olosuhteita ja verkon palvelujen toimintamalleja. Uudistuksessa pyrittiin turvaamaan henkilötietojen suoja perusoikeutena, digitaalitalouden kehitys ja tehostamaan rikollisuuden ja terrorismin torjuntaa.
Tulokseksi syntyivät tietosuojadirektiivi (EU) 2016/680 sekä yleinen tietosuoja-asetus (EU) 2016/679, jotka astuivat voimaan 24.5.2016. Direktiivin kansallinen täytäntöönpano on tehtävä 6.5.2018 mennessä. Yleistä tietosuoja-asetusta aletaan soveltaa 25.5.2018 alkaen.
Tietosuojadirektiivi korvaa vuonna 2008 annetun puitepäätöksen rikosasioissa tehtävissä sekä poliisi- ja oikeudellisessa yhteistyössä käsiteltävien henkilötietojen suojaamisesta. Yleinen tietosuoja-asetus korvaa vuoden 1995 henkilötietodirektiivin 95/46/EY ja sen kansalliseksi täytäntöön panemiseksi annetun henkilötietolain (523/1999) säännökset niiltä osin kuin henkilötietojen käsittely kuuluu asetuksen soveltamisalaan.
EU:n tietosuoja-asetuksen ja tietosuojadirektiivin kansallinen täytäntöönpano edellyttää henkilötietolain ja eräiden muiden säännösten tarkistamista. Tietosuojauudistuksen valmistelu on jaettu kahdelle eri oikeusministeriön työryhmälle: toinen käsittelee tietosuojadirektiivin ja toinen tietosuoja-asetuksen vaikutuksia lainsäädäntöön. Hallituksen esitykset on tarkoitus saattaa eduskunnan käsiteltäväksi syysistuntokaudella 2017.
