Nové pravidlá do platnosti vstúpia 25. mája 2018. Výrazne sa posilní pozícia dotknutých osôb, teda ľudí, ktorých údaje sa spracovávajú. Pre subjekty, ktoré údaje spracovávajú, to znamená množstvo nových povinností.

Novinkou, ktorú GDPR zavádza, je pseudonymizácia údajov a profilovanie. Táto perspektíva starej norme úplne chýbala. Pseudonymizácia je spracúvanie osobných údajov takým spôsobom, aby osobné údaje už nebolo možné priradiť konkrétnej dotknutej osobe bez použitia dodatočných informácií. Zároveň sa však takéto dodatočné informácie uchovávajú oddelene a vzťahujú sa na ne technické a organizačné opatrenia s cieľom zabezpečiť, aby osobné údaje neboli priradené identifikovanej alebo identifikovateľnej fyzickej osobe.

Ďalším princípom, na ktorom bude stáť nový systém ochrany osobných údajov, je minimalizácia údajov. Spoločnosti budú môcť spracovávať len také údaje, ktoré nevyhnutne potrebujú k svojej činnosti.

„Výška pokút však môže byť až dvojnásobná, teda 4 % celosvetového obratu, prípadne 20 miliónov eur. Pokutu v tejto výške môže subjekt dostať za porušenie zásad spracovania osobných údajov.“

Popri tejto zmene upravuje GDPR aj profilovanie. Ide o akúkoľvek formu automatizovaného spracúvania osobných údajov, ktoré pozostáva z použitia týchto osobných údajov na vyhodnotenie určitých osobných aspektov týkajúcich sa fyzickej osoby. Za profilovanie sa teda považuje analýza údajov, ktorá vedie napríklad k predvídaniu pracovných návykov, správania, majetkových pomerov či záujmov. 

Zásadný dôraz kladie nová legislatíva na globálnu ochranu občanov EÚ. Nariadenie platí pre spoločnosti, ktoré predávajú tovary a služby, tiež pre spoločnosti, ktoré monitorujú správanie.

Nové pravidlá sa vzťahujú na spracúvanie osobných údajov v rámci EÚ, a to bez ohľadu na to, či sa spracúvanie vykonáva v EÚ, alebo nie. Pracovať s údajmi v súlade s GDPR musia aj subjekty, ktoré nie sú usadené v EÚ, ale dotknuté osoby sa nachádzajú v EÚ.

Nariadenie preto musia dodržiavať aj zahraničné subjekty, ktoré monitorujú správanie subjektov v EÚ, prípadne ponúkajú platené aj bezplatné tovary a služby rezidentom krajín EÚ.

Novinkou je aj dôslednejšie zacielenie legislatívy na sprostredkovateľov údajov, ktorých pôvodná legislatíva do veľkej miery obchádzala. Prevádzkovateľ je subjekt, ktorý určuje účely spracovávania údajov, a prostriedky, ktorými sa údaje budú spracovávať.

Sprostredkovateľom je v tomto prípade fyzická alebo právnická osoba, orgán verejnej moci, agentúra alebo iný subjekt, ktorý spracúva osobné údaje v mene prevádzkovateľa. Tento článok reťazca smernica z roku 1995 úplne ignorovala a tento pojem vôbec nepoznala. Nové pravidlá sa teda týkajú subjektov, ktoré dostanú na starosť osobné údaje od prevádzkovateľa.

Zároveň nové pravidlá ustanovujú kľúčové náležitosti, ktoré má obsahovať dohoda medzi prevádzkovateľom a sprostredkovateľom. Problémovou oblasťou však zostáva takzvaný „subprocessor“, teda nasledujúci článok reťazca. Na subjekt, ktorý získava údaje od sprostredkovateľa, sa nové pravidlá nevzťahujú.

„GDPR výrazne posilňuje práva dotknutých osôb. Firmám, ktoré spracovávajú údaje, pribudne množstvo povinností.“

Dôležitá zmena sú Privacy by design a Privacy by default. V podstate je to prístup, ktorý má zabezpečiť, že prvky ochrany údajov budú súčasťou vývoja produktov od počiatočných fáz vývoja.

Zároveň budú mať niektoré spoločnosti povinnosť mať ustanovenú osobu zodpovednú za ochranu údajov. Povinná je pre verejnoprávne subjekty a orgány štátnej moci, taktiež pre inštitúcie pracujúce s veľkým objemom citlivých údajov. Povinnosť sa týka aj spoločností, ktoré monitorujú jednotlivcov. V rámci nadnárodných firiem nie je nevyhnutné mať zodpovednú osobu v každej krajine. Zodpovednou osobou môže byť aj právnická osoba.

Okrem toho sa zdôrazňuje právo „byť zabudnutý“. Dotknutá osoba má právo na vymazanie alebo obmedzenie spracúvania osobných údajov. Dotknuté osoby budú dostávať informácie o existencii tohto práva. Problematikou práva na zabudnutie sa zaoberala napríklad spoločnosť Google v súvislosti s výsledkami vyhľadávania svojho prehliadača.

Významnú úlohu bude zohrávať jednoznačný súhlas. Toto ustanovenie v podstate znamená, že určité správanie, napríklad používanie služieb, nebude stačiť ako vyjadrenie súhlasu so spracovávaním údajov.

Systematizujú sa pravidlá o informovaní o únikoch. To platí v troch oblastiach. Sprostredkovateľ bude mať štandardy na podávanie informácií o únikoch prevádzkovateľovi. Zároveň budú existovať  pravidlá pre oznamovanie incidentov regulačnému orgánu, tiež prípadne aj dotknutej osobe. Dotknutí jednotlivci dostanú informáciu o úniku, ak im z neho plynú veľké riziká. To všetko by sa malo stihnúť do 72 hodín.

Dodržiavanie nových pravidiel budú regulačné orgány vynucovať pod hrozbou vysokých pokút. GDPR zavádza dva druhy pokút. Finančnú sankciu do výšky 2 % celosvetového obratu alebo 10 miliónov eur môže dostať subjekt za viacero pochybení. Medzi nimi je napríklad nedostatočné zabezpečenie osobných údajov, nedostatočná zmluva prevádzkovateľa so sprostredkovateľom, neoznámenie porušenia ochrany osobných údajov a v prípade, že firma neurčí zodpovednú osobu, hoci je to pre ňu povinné. Sankcia tiež hrozí sprostredkovateľom.

Výška pokút však môže byť až dvojnásobná, teda 4 % celosvetového obratu, prípadne 20 miliónov eur. Pokutu v tejto výške môže subjekt dostať za porušenie zásad spracovania osobných údajov, napríklad vtedy, ak bude firma údaje používať na neurčené, nekonkrétne účely. Táto výška sankcie sa uplatní napríklad aj vtedy, ak dotknutá osoba neudelila súhlas na spracovanie osobných údajov, hoci bol potrebný.