Dle návrhu zákona by dítě mladší 13 let potřebovalo souhlas zákonného zástupce (rodiče) se zpracováním jeho osobních údajů v souvislosti s elektronicky poskytovanými službami, tedy např. v případě založení uživatelského účtu na webových stránkách Netflix, Spotify apod.
Pověřenec pro ochranu osobních údajů bude vázán povinností mlčenlivosti, přičemž ta se bude týkat i jemu podřízených osob a bude trvat i po skončení výkonu činnosti.
Návrh zákona definuje veřejné subjekty, jejichž vymezení bylo předmětem mnoha debat. Definice by měla dopadat na Českou národní banku, Nejvyšší kontrolní úřad, veřejného ochránce práv a další subjekty, nikoliv však na stanice technické kontroly (STK).
Správci a zpracovatelé budou moci za splnění konkrétních podmínek získat osvědčení o ochraně údajů nebo pečeť či známku dokládající ochranu údajů pro účely prokázání souladu s GDPR. Subjekty, které budou certifikovat splnění těchto podmínek, budou akreditovány Českým institutem pro akreditaci, o.p.s.
Návrh zákona se dotkne i fungování Úřadu pro ochranu osobních údajů. Zaniknout by měly registry zpracování osobních údajů a dále se již nepočítá ani s funkcí inspektorů. Stávající inspektoři by měli dokončit funkční období a poté by měli kontroly řídit příslušně kvalifikovaní státní zaměstnanci Úřadu.
Za kontroverzní by mohlo být považováno snížení horní hranice pokuty za porušení předpisů na ochranu osobních údajů pro orgány veřejné moci na 10 milionů Kč. Soukromým subjektům by i nadále mohla být uložena pokuta až do výše 20 milionů Kč. Schválením návrhu zákona by tak došlo k zavedení "dvojího metru", kdy by podnikatelům za spáchání stejného přestupku mohla být uložena dvakrát vyšší pokuta než např. ministerstvům či obcím.
V současné době se obdobný zákon připravuje i na Slovensku. Na rozdíl od připravované české právní úpravy, která toliko upřesňuje některé vybrané instituty, je připravovaný slovenský zákon je podstatně obsáhlejší, přejímá definice a zásady již obsažené v nařízení a zavádí vlastní definice (log, logování, šifrování apod.) a rovněž upravuje proces podávání stížností pro porušení předpisů o zpracování osobních údajů a řízení o těchto stížnostech.