Säilib senine õigus tutvuda enda kohta kogutud andmetega, samuti õigus nõuda ebaõigete andmete parandamist ja ilma aluseta hoitavate andmete kustutamist. Lisandub õigus nõuda oma digitaalandmete masinloetavat ülekandmist ühest ettevõttest teise.

Üldmäärus koos uue küberturvalisuse seadusega loob aluse ettevõtete ja asutuste teabehalduse ja infoturbe taseme tõstmiseks. Läbiv põhimõte on, et andmetöötlejal peab olema täielik ülevaade andmete töötlemisest nende kogumisest kuni kustutamiseni. Tagada tuleb turvalisus, isikuandmetega tehtava üle tuleb pidada arvestust.

Lisaks sisemisele andmetöötlusülevaatele tuleb koostada ka ettevõtte või asutuse avalikud andmekaitsetingimused. Oluliste teenuste osutajad peavad koostama ka küberturbe riskianalüüsi. Asutused ning tundlikuma andmetöötlusega ettevõtted peavad määrama andmekaitsespetsialisti, mida saab teha äriregistri kaudu. Isikuandmetega seotud rikkumisest tuleb teada anda Andmekaitse Inspektsioonile ning küberintsidendist ka Riigi infosüsteemi ametile (RIA).

Andmekaitse Inspektsiooni peadirektor Viljar Peep selgitas: „Ei ole võimalik arendada edukalt digitaalseid teenuseid ja infotöötlust, kui inimesed ei usalda seda, kuidas nende kohta käivat teavet käideldakse. Uue andmekaitseõiguse rakendamist tuleks kasutada selleks, et korrastada andmetöötlust ja infoturvet ettevõtetes ja asutustes. See loob usaldust ja parandab konkurentsivõimet. Aga soovitan ka hoiduda juriidilisest ülemõtlemisest. Andmekaitse eesmärk ei ole öelda, et mitte midagi ei tohi teha, vaid näidata, kuidas vajalikke asju saab õigesti teha.“

Inspektsiooni tegevuse kohta ütles peadirektor, et põhitähelepanu on esimesel aastal avalikul sektoril. Inspektsiooni juures tegutseb keskasutuste esindajatest nõukogu, mille kaudu korraldatakse andmekaitse ühtlast rakendamist ja kogemuste vahetamist riigi- ja omavalitsusasutustes.