新たな法律は、事業にいくつかの具体的な変更をもたらします。最も重要なことは、非遵守に対する金銭的影響が生じることです。
<高額な制裁金>
第1段階:
1,000万ユーロまたは世界での年間総売上金額の2%のいずれか高い金額が上限の制裁金が科されます
第2段階:
2,000万ユーロまたは世界での年間総売上金額の4%のいずれか高い金額が上限の制裁金が科されます
<削除権(忘れられる権利)>
個人が自身のデータ削除を事業者に求めることができる。個人がデータの処理を望んでおらず、事業者に正当な理由がない場合は、事業者はデータを削除する必要があります。責任は、データ主体である個人ではなく、データ保持が必要であることを証明するためデータコントローラ側にあります。
<データ侵害の通知義務>
組織は、データ漏洩などのインシデントが発生した場合、発生してから72時間以内に、個人情報保護管理機関・データ主体である個人両者に対して、データ違反を報告するよう要求されています。
<データポータビリティの権利>
この規則は、データ主体である個人が、元のデータコントローラーから他のデータコントローラー間で共通の電子フォーマットで個人データを移転できる権利を提案しています。
<Privacy by Design>
これは、新たな規則の基本的な考え方の1つであり、組織全体の姿勢を変え、データ保護を計画することを目指しています。 第23条では、データ保護をビジネスプロセスの開発に組み込むべきであると規定しているため、プライバシーはプロジェクト開始時に考慮される点です。
<データ・プロテクション・オフィサ(DPO)の選任義務>
大規模な個人データ監視や特別な分類データの処理など、特定の活動において組織はDPOを任命する必要があります。 必要がない場合も、情報セキュリティの知識とデータ保護法の理解をし、DPOを任命することは良い習慣となります。