GDPR nepřináší zcela novou úpravu ochrany osobních údajů, ale přebírá veškeré dosavadní zásady, na nichž stojí současný evropský systém ochrany osobních údajů. GDPR reaguje na obrovský technologický vývoj, ke kterému došlo od vydání směrnice EU o ochraně osobních údajů, dále na rozvoj internetu a sociálních sítí a v řadě případů zakotvuje výkladová pravidla stanovená Soudním dvorem EU, která se už nyní v praxi aplikují (např. právo být zapomenut).

Zásadní změna je v přístupu regulace ochrany osobních údajů na území EU. Od 25. 5. 2018, kdy vejde GDPR v účinnost, bude na celém území EU a v dalších státech EHP (Norsko, Lichtenštejnsko a Island) platit jednotná úprava ochrany osobních údajů obsažená v GDPR. Všechny státy budou používat přímo GDPR a lokální zákony budou upravovat pouze dílčí otázky.

V rámci nové úpravy dochází k výraznému rozšíření práv subjektů údajů, což s sebou přináší nutnost připravit interní postupy a IT systémy na flexibilní reagování na veškeré požadavky ze strany fyzických osob ohledně zpracování jejich osobních údajů.

V případě rizikových operací s osobními údaji jsou zakotveny nové povinnosti pro správce a zpracovatele (např. posouzení vlivu na ochranu osobních údajů), které kladou důraz na aktivnější přístup ze strany těchto subjektů. GDPR totiž často stanoví jen obecnou povinnost, ale neobsahuje podrobný návod, jak ji naplnit. Určitou pomoc v této oblasti představují tzv. Vodítka Pracovní skupiny 29 (od 25. 5. 2018 se jedná o Pokyny Evropského sboru pro ochranu osobních údajů), která jsou postupně vydávána ohledně nových institutů upravených v GDPR a obsahují výkladová pravidla i způsoby plnění jednotlivých povinností.

Důležitou motivací pro přijetí včasných opatření ze strany správců a zpracovatelů mohou být hrozící sankce za nedodržení GDPR, které budou mnohem vyšší než doposud. Zatímco podle současného zákona o ochraně osobních údajů lze uložit za nejzávažnější delikty pokutu v maximální výši 10.000.000 Kč (a Úřad pro ochranu osobních údajů nikdy takto vysokou pokutu neuložil), podle GDPR bude možné uložit pokutu až do výše 20.000.000 EUR nebo pokud jde o podnik (tj. jakákoli fyzická nebo právnická osoba vykonávající hospodářskou činnost bez ohledu na její právní formu) až do výše 4 % celkového ročního obratu celosvětově za předchozí finanční rok (podle toho, která hodnota je vyšší). Tyto pokuty budou ukládány po celém území EU/EHP, takže bude postup všech dozorových úřadů více méně jednotný a je zcela jisté, že uložené pokuty se v budoucnu rapidně zvýší.