A Nemzeti Adatvédelmi és Információszabadság Hatóság kiemelten ellenőrzi az adatkezelőket, hogy megfelelnek-e a törvénynek. Amennyiben egy szervezet saját megítélése szerint már megfelel a jelenleg is hatályos törvénynek, úgy a területet szabályozó új uniós jogszabály (Általános Adatvédelmi Rendelet – GDPR) már számára nem jelent érdemi változást, mégis mindenki számára hoz újdonságot az új jogszabály.
Első pillantásra fontos könnyítésnek tűnhet, hogy a rendelet hatályba lépését követően megszűnik az adatkezelők kötelező bejelentkezési kötelezettsége az adatvédelmi nyilvántartásba, ugyanakkor 2018. május 25-étől minden szervezetnek saját magának kell átlátható formában vezetnie, és szükség esetén a hatóság rendelkezésére bocsátania a személyes adatkezelési tevékenységeinek nyilvántartását.
Szigorodnak a hozzájáruláshoz kötött adatkezelés feltételei: a hozzájárulásnak minden körülmény között önkéntesnek és visszavonhatónak kell lennie, így számos esetben szükséges az adatkezelés újfajta jogalapjának meghatározása (többek között munkavállalók adatainak kezelése területén).
A rendelet kötelezően előírja a személyes adatokat érintő incidensek, kötelező, 72 órán belüli bejelentését az adatvédelmi hatóság (NAIH) részére, így mindenféleképpen szükséges azon eljárásrendek létrehozása (vagy felülvizsgálata), melyek az incidensek bejelentéséhez szükséges információkat biztosítják.
A rendelet 2018. május 25-étől valamennyi a valószínűsíthetően kockázatos új adatkezelési tevékenységekre kötelezően előírja az adatvédelmi hatásvizsgálat elvégzését. Bár ilyet a rendelet szövege szerint a hatályba lépést megelőzően nem kell végezni, a hatásvizsgálat lefolytatására vonatkozó eljárásrendeknek és procedúráknak addigra már rendelkezésre kell állniuk.
Éppen célszerű lehet felülvizsgálni informatikai környezet zártságát biztosító szervezeti és technikai intézkedések hatékonyságát.
Bár a GDPR szerint akár 20 millió euró is lehet a bírság, ha egy cég nem tesz eleget az adatvédelmi kötelezettségeinek. Ez a bírságmérték arra mindenféleképpen alkalmas, hogy a cégek a bírságot már nem tudják beépíteni be a felvállalt kockázatok közé.