Nariadenie sa týka veľkej väčšiny podnikateľov a inštitúcií (v niektorých zdrojoch sa uvádza až 530 000 subjektov, na ktoré sa predmetné nariadenie vzťahuje), ktoré spracúvajú údaje o svojich klientoch, využívajú dáta na marketingové účely, monitorujú správanie svojich zákazníkov, majú kamerový systém alebo e-shop. Taktiež sa GDPR vzťahuje na organizácie, ktoré majú dochádzkový systém zamestnancov, databázu zákazníkov, či uchádzačov o zamestnanie, zálohujú a archivujú údaje, zmluvy alebo šifrujú dáta.

Význam ochrany osobných údajov je aj teraz definovaný veľmi široko. GDPR rozširuje pojem, čo pod osobné dáta patrí a zahŕňa akékoľvek údaje, ktoré vedú k identifikovaniu osobných dát jednotlivcov.

Je celosvetový, keďže zahŕňa aj podniky mimo EÚ, ak ich tovar, služby alebo dáta sú ponúkané, spracované z územia alebo na území EÚa vzťahujú sa na údaje občanov EÚ.

GDPR stanovuje pokutu za každé porušenie povinnosti pri ochrane osobných údajov až do výšky 20 miliónov EUR alebo 4% z celosvetového obratu spoločnosti podľa toho, ktorá suma je vyššia.

GDPR stanovuje povinnosť ohlasovania incidentov, pri ktorých došlo k porušeniu práva na ochranu osobných údajov do 72 hodín od jeho zistenia.

Poskytovateľ má povinnosť v stanovenej lehote vymazať všetky osobné údaje o užívateľovi, ak tento o to požiada.

Úlohou DPO je, aby nezávislým spôsobom zabezpečoval správne uplatňovanie predpisov na ochranu údajov v spoločnosti, v ktorej zastáva predmetnú funkciu . Je tiež zodpovedný za vedenie registra operácií spracúvania osobných údajov, ktoré vykonala spoločnosť.

Súhlas so spracovaním osobných údajov bude musieť byť vyjadrený pri každej jednej transakci resp. zmene účelu spracovania.Zároveň GDPR vyžaduje, aby súhlas so spracovaním osobných údajov za deti do 16 rokov dával rodič resp. zákonný zástupca.

Zodpovednosť za spracovanie údajov ležala dosiaľ na registrovaných správcoch údajov. GDPR teraz túto zodpovednosť rozširuje na všetky organizácie, ktorých sa spracovanie osobných údajov akýmkoľvek spôsobom dotýka. Každá osoba, ktorá utrpela majetkovú alebo nemajetkovú ujmu v dôsledku porušenia GDPR, má právo na náhradu takejto škody od prevádzkovateľa alebo sprostredkovateľa.