Серед ключових змін GDPR було введення кількох принципів, які раніше лежали в основі законодавства про захист даних, зокрема «принципу підзвітності» й «принципу вбудованого алгоритму конфіденційності», і заохочує організації брати на себе більше відповідальності за захист персональних даних, які вони обробляють.
Принцип вбудованого алгоритму конфіденційності. Це означає, що організації, які обробляють персональні дані, повинні передбачати захист даних під час проєктування систем, а не лише аналізувати наслідки, що виникають у зв'язку з захистом даних, після розробки продукту або процесу.
Права користувача. ЗРЗД розширює наявний набір прав користувача та створює декілька цілковито нових прав. Компанії повинні переглянути й забезпечити наявність ефективних систем для здійснення цих прав.
Суворіші правила повідомлення про порушення. ЗРЗД вимагає, щоб організації мали ефективну систему повідомлення про порушення та розуміли свої зобов'язання щодо звітності.
Підзвітність. Ваша компанія повинна не тільки дотримуватися принципів, викладених у ЗРЗД, але й повинна продемонструвати виконання принципу підзвітності. Це вимагає наявності всебічної та чіткої внутрішньої структури управління конфіденційністю.
Фахівець, відповідальний за захист даних. Відповідно до ЗРЗД, компанії, які займаються обробкою даних користувачів з ЄС, мають визначити, чи повинні вони призначити фахівця, відповідального за захист даних (ФЗД). Компанії, які регулярно обробляють великі обсяги інформації або особливо конфіденційну інформацію, повинні розглянути питання про призначення ФЗД.