Ο Κανονισμός 2016/679 θέτει μία σειρά περιορισμών και νέων υποχρεώσεων στις επιχειρήσεις σχετικά με:

1. την επεξεργασία των προσωπικών δεδομένων σε όλο τον κύκλο ζωής τους, από τη συλλογή έως και την καταστροφή τους,
2. τη δυνατότητα μεταφοράς τους σε άλλες χώρες,
3. την προστασία των δικαιωμάτων των φυσικών προσώπων, ειδικότερα σε σχέση με την πρόσβαση τους στα προσωπικά τους δεδομένα,
4. την ασφάλεια (εμπιστευτικότητα, ακεραιότητα, διαθεσιμότητα) των προσωπικών δεδομένων και
5. τις ενέργειες γνωστοποίησης που οφείλει να κάνει η επιχείρηση σε περίπτωση παραβίασης.

Σε περίπτωση παράβασης των προνοιών του κανονισμού προβλέπονται σημαντικά αυξημένα πρόστιμα τα οποία φθάνουν έως τα 20 εκατομμύρια ευρώ ή το 4% του παγκόσμιου ετήσιου κύκλου εργασιών της επιχείρησης.

Η πιο σημαντική και πολύπλοκη νέα αλλαγή είναι το δικαίωμα του υποκειμένου των δεδομένων να μπορεί "να λησμονηθεί", σύμφωνα με το οποίο μπορεί να ζητήσει από μια εταιρία να διαγράψει τα προσωπικά του δεδομένα. Οι εταιρίες θα πρέπει να θέσουν σε εφαρμογή διαδικασίες για να εντοπίσουν τα δεδομένα και να συμμορφωθούν με αυτά τα αιτήματα, αν και μπορεί να μην είναι απλή η διαγραφή ενός μόνο αρχείου δεδομένων που μπορεί να έχει αντιγραφεί σε πολλές βάσεις δεδομένων, να συγκεντρωθεί ή να μοιραστεί με ένα τρίτο μέρος.

Μια άλλη σημαντική πρόκληση της συμμόρφωσης με τον GDPR είναι η νέα απαίτηση να κοινοποιείται στις αρχές η ύπαρξη παραβίασης των δεδομένων εντός 72 ωρών από την εμφάνισή τους. Αυτό έχει επιπτώσεις στη διαχείριση των κινδύνων.

Οι εταιρίες θα πρέπει να θέσουν σε εφαρμογή κατάλληλες διαδικασίες και συστήματα για να εντοπίσουν τα δεδομένα που επηρεάζονται και να βελτιώσουν την εσωτερική συνεργασία πριν ενημερώσουν τον ρυθμιστή. Οι διαδοχικές παραβιάσεις θα οδηγήσουν σε μεγαλύτερες κυρώσεις και αυστηρότερη κανονιστική παρακολούθηση.