การเปลี่ยนแปลงที่สำคัญของ GDPR ได้แก่ การนำเสนอหลักการหลายข้อที่ก่อนหน้านี้ได้เสริมสร้างความแข็งแกร่งให้กับกฎหมายการคุ้มครองข้อมูล เช่น "หลักการความรับผิดชอบ" และ "ความเป็นส่วนตัวตามการออกแบบ" และส่งเสริมให้องค์กรต่างๆ รับผิดชอบต่อการคุ้มครองข้อมูลส่วนบุคคลที่องค์กรจัดการมากขึ้น
ความเป็นส่วนตัวตามการออกแบบ: หมายความว่า องค์กรที่จัดการข้อมูลส่วนบุคคลจำเป็นต้องคำนึงถึงความคุ้มครองข้อมูลตั้งแต่ขั้นตอนการออกแบบระบบ ไม่ใช่เพียงแค่ตรวจสอบนัยในแง่ความเป็นส่วนตัวหลังจากที่พัฒนาผลิตภัณฑ์หรือกระบวนการแล้วเท่านั้น
สิทธิผู้ใช้: GDPR ได้ขยายขอบเขตสิทธิผู้ใช้ที่กำหนดไว้แต่เดิม และกำหนดสิทธิใหม่ๆ ขึ้นมาหลายสิทธิ บริษัทต่างๆ ควรตรวจสอบและรับรองว่ามีระบบที่มีประสิทธิภาพและถูกต้อง เพื่อทำให้สิทธิเหล่านี้มีผลใช้ได้
กฎการแจ้งเตือนการละเมิดที่เข้มงวดมากยิ่งขึ้น: ภายใต้ GDPR องค์กรต่างๆ จะต้องมีระบบการแจ้งเตือนการละเมิดที่เข้มงวด รวมทั้งเข้าใจถึงข้อผูกพันในการรายงานเฉพาะของตน
ความรับผิดชอบ: ไม่เพียงแต่บริษัทของคุณจะต้องยึดหลักที่กำหนดไว้ใน GDPR เท่านั้น แต่ยังต้องแสดงให้เห็นว่ามีการปฏิบัติตามให้สอดคล้องกับหลักการความรับผิดชอบอีกด้วย ซึ่งจำเป็นต้องมีโครงสร้างกำกับดูแลความเป็นส่วนตัวภายในที่ครอบคลุมและชัดเจน
เจ้าหน้าที่คุ้มครองข้อมูล: GDPR กำหนดให้บริษัทที่เกี่ยวข้องกับการประมวลผลข้อมูลผู้ใช้ใน EU ระบุว่าควรแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูลหรือไม่ บริษัทซึ่งประมวลผลข้อมูลปริมาณมากหรือข้อมูลที่อ่อนไหวอย่างยิ่งเป็นประจำควรพิจารณาแต่งตั้งเจ้าหน้าที่คุ้มครองข้อมูล