· Zákon o zpracování osobních údajů nově platí pro všechny společnosti, které na území EU zpracovávají osobní údaje, nezávislé na tom, kde tyto firmy sídlí. Doteď nařízení platilo pouze pro firmy, které měly v rámci Unie sídlo. Tedy třeba Facebook nebo Instagram už to nebudou moci uhrát na to, že jejich základna je v USA, a budou se muset podřídit evropským regulacím.
· Podmínky jsou buďto čitelné a srozumitelné, nebo neplatí. GDPR znamená konec nesrozumitelných smluv plných právních kliček nebo napsaných malým písmem. Toto nařízení bylo zavedeno v rámci snahy dát větší váhu souhlasu. Souhlas se zpracováním osobních údajů musí být snadno identifikovatelný (nesmí být tedy schovaný mezi dalšími podmínkami), a musí jej být stejně snadné udělit i zrušit. S tím se pojí i další novinka, a to je právo požadovat po firmách vymazání vašich osobních údajů z jejich databáze, pokud se rozhodnete účet zrušit. Za zavedením tohoto nařízení stojí pravděpodobně nedávné skandály společnosti Facebook.
· Firmy budou nově muset uživatele informovat, když dojde k úniku dat. Nedávné skandály, kdy se uživatelé až zpětně dozvídali, kolik dat vlastně uniklo, způsobily vznik nového nařízení, podle kterého budou firmy a stránky nuceny své uživatele do tří dnů informovat o všech situacích, které by mohly vést ke zneužití informací někým třetím, ať už k tomu reálně dojde, nebo ne. To by mělo zabránit například tomu, aby byli uživatelé nevědomky vystaveni cílené reklamě.
· Bezpečnost především je podle zásad GDPR nové heslo designérů webových stránek. Kdykoli někdo bude tvořit webovou službu, bezpečnost dat musí být jednou z priorit. To se týká třeba toho, že stránka bude požadovat pouze ty osobní údaje, které jsou pro její fungování nezbytné, a nikoli celý balík dat, která by mohla následně výhodně prodat.