Меѓу другото ГДПР ги предвидува следните четири работи:
- Компаниите да бидат јасни и концизни околу собирањето и користењето лични податоци како цело име, домашна адреса, локација, ИП адреса или идентификаторите што се користат на смартфони за следење на употреба на веб и апликации.
- Компаниите ќе мора јасно да напишат за што ги собираат податоците и дали тие ќе бидат искористени за создавање профили од навиките и постапките на корисниците.
- Корисниците ќе добијат право да имаат увид во податоците што компаниите ги чуваат за нив, право да коригираат некоја неточна информација, и право да ја ограничат употребата на одлуки направени од алгоритми.
- Оваа заштита ќе важи на територија на цела ЕУ без разлика во кој дел од светот ќе бидат обработувани податоците. И ќе опфаќа сè од обични сајтови, до сајтови на банки, универзитети, и стандардно осомничените Гугл, Фејсбук, Амазон и Епл.
Како пример за функционирањето на законот на сајтот на Европската комисија е наведено дека „социјална мрежа ќе мора да го исполни барањето на корисникот за бришење на фотографиите што корисникот ги објавил како малолетник - и да ги информира интернет пребарувачите и останатите веб-страни што ги искористиле овие фотографии дека сликите ќе мора да бидат отстранети.“
Друг аспект на законот е дека корисниците ќе бидат далеку подобро информирани што и како се случува со податоците. Една од најважните промени е што сега корисниците ќе мора да се согласат нивните податоци да бидат собирани, а не да треба да наоѓаат начини како да излезат или спречат собирање на нивните лични податоци.
Прекршувањето на законот носи казна до 4% од годишните глобални приходи на компаниите. За Фејсбук тоа би било 1,6 милијарди долари, за Гугл 4,4 милијарди долари.