Oto lista najważniejszych zmian:

1. Kary finansowe:
   RODO wprowadza dotkliwe kary finansowe za brak wdrożenia i przestrzegania nowych przepisów dot. ochrony danych osobowych.Firmy mogą zostać ukarane karą pieniężną od 10 do 20 mln euro lub od 2% do 4%  wartości rocznego światowego obrotu przedsiębiorstwa, w zależności od tego, która wartość jest wyższa.Administracja publiczna – wysokość kary przewidywana jest na poziomie 100.000 złotych (projekt z dnia 13.09.2017 – ustawa o ochronie danych osobowych). Kary będą nakładane proporcjonalnie w zależności od skali naruszenia przepisów.
2. Bezpośrednia odpowiedzialność przetwarzającego dane:
   Za naruszenie przepisów o ochronie danych osobowych odpowiadać będzie szef firmy, jednostki, szkoły, urzędy. Odpowiedzialność jest bezpośrednia i powołanie inspektora ochrony danych osobowych, czy wynajęcie firmy zewnętrznej w tym obszarze, nie zwalnia z tej odpowiedzialności. Dlatego każdy prezes, dyrektor, wójt, burmistrz, prezydent miasta powinien dobrze się przygotować i wdrożyć RODO. Szef organizacji odpowiada zarówno przed urzędem kontroli, jak i  przed sądem cywilnym czy karnym. Nie może cedować tej odpowiedzialności na innych pracowników.
3. Inspektor Ochrony Danych (IOD) – nowa funkcja:
   Inspektor Ochrony Danych (IOD), to nowa osoba w organizacji, odpowiedzialna za bezpieczeństwo danych, ale też za raportowanie naruszeń do urzędu kontroli. Dotychczasowy administrator danych osobowych (ABI) przestaje istnieć.Powołanie IOD jest obligatoryjne dla podmiotów, które prowadząc swoją działalność, przetwarzają takie rodzaje danych, których brak należytego zabezpieczenia może spowodować naruszenie praw i wolności osób fizycznych np. dzieci. Obligatoryjnie IOD muszą powołać:• Organy i podmioty publiczne np.: szkoły, uczelnie publiczne, urzędy gmin, jednostki pomocy społecznej, spółki komunalne itp.,• Firmy, które regularnie i systematycznie przetwarzają i monitorują dane osobowe np. firmy telekomunikacyjne, reklamowe, badawcze, ubezpieczyciele, marketingowe itp.,• szpitale, przychodnie,• inne, które wymieniają przepisy. IOD powinien posiadać wiedzę ekspercką w zakresie ochrony danych osobowych, aby odpowiednio kierować polityką bezpieczeństwa danych w organizacji.
4. Zgłoszenie naruszeń w ciągu 72 godzin:
   To właśnie IOD będzie miał obowiązek zgłaszania wszelkich naruszeń bezpieczeństwa danych osobowych w czasie do 72 godzin od naruszenia, bezpośrednio do właściwego organu nadzoru. Oznacza to, że każde naruszenie należy zgłosić bezpośrednio do organu nadzorczego w nieprzekraczalnym czasie 72 godzin i to niezależnie od powiadomienia przełożonych.W niektórych przypadkach należy również poinformować o takim incydencie konkretne osoby, których dane „wyciekły”.
5. Rejestr naruszeń:
   Jedną ze zmian, jaką wprowadza RODO, jest nowy obowiązek inspektorów ochrony danych prowadzenia rejestru naruszeń. Zgodnie z przepisami IOD musi dokumentować wszelkie naruszenia ochrony danych osobowych, w tym okoliczności naruszenia ochrony danych osobowych, jego skutki oraz podjęte działania zaradcze.Prowadzona w ten sposób dokumentacja musi pozwolić organowi nadzorczemu zweryfikować, czy firma przestrzega postanowień RODO w tym zakresie, czyli zgłaszania naruszeń ochrony danych osobowych do organu nadzorczego.
6. Analiza ryzyka:
   Przeprowadzenie analizy ryzyka będzie obowiązkowe przed podjęciem działań „wysokiego ryzyka”, takich jak np.: przetwarzanie danych dotyczących zdrowia (fizycznego, psychicznego, korzystania z usług medycznych), danych dzieci, danych wrażliwych. Analiza ryzyka powinna zapewnić wykazanie się starannością co do poprawności przetwarzania danych, szczególnie przed organem nadzorczym w momencie kontroli.
7. Nowe procedury i klauzule:
   Konieczność opracowania i wdrożenia procedur oraz środków zapewniających bezpieczeństwo przetwarzanych danych osobowych, w tym metod regularnego testowania i oceny ich skuteczności, to odpowiedzialność administratora danych w świetle RODO.Nowe obowiązki to poważne wyzwanie dla administratora, ze względu na brak „gotowych” rozwiązań/regulacji. RODO nie wskazuje wprost jakie dokumenty, procedury i polityki należy wdrożyć. Ogólnie wspomina, że to podmiot musi się wykazać starannością w zabezpieczeniu tych procesów, aby podczas przetwarzania danych osobowych nie doszło do nieprawidłowości.Administrator danych na etapie pozyskiwania danych osobowych, będzie zobowiązany m.in. do podania nowych informacji np.: o podstawie prawnej przetwarzania, danych kontaktowych do IOD, okresie przechowywania danych, prawie do ich przenoszenia, prawie wniesienia skargi do organu nadzorczego, cofnięcia zgody na przetwarzanie danych w dowolnym momencie itp.Trzeba będzie opracować nowe klauzule informacyjne.
8. Obowiązek inwentaryzacji danych osobowych. Rejestry czynności przetwarzania:
   RODO nie wymaga rejestracji zbiorów danych osobowych. Jednak administratorzy danych będą musieli prowadzić wewnętrzny rejestr czynności przetwarzania danych, zawierający m.in. informacje takie jak: powody przetwarzania danych, kategorie podmiotów danych i danych osobowych, rejestry naruszeń, osoby odpowiedzialne za poszczególne procesy przetwarzania itd. Oznacza to, że administrator powinien rozważyć, jakie rodzaje rejestrów będzie prowadził, czy na poziomie ogólnym, czy dość szczegółowym.
9. Prawo do zapomnienia i prawo do wglądu w historię przetwarzania danych:
   RODO przyznaje obywatelom – osobom fizycznym, których dane osobowe są przetwarzane, szereg nowych uprawnień, które muszą być respektowane przez organizacje.Takie uprawnienia to:

• • „prawo do bycia zapomnianym”, czyli trwałe usunięcie danych osobowych przetwarzanych przez daną instytucję; dotyczy to informacji: w formie cyfrowej, papierowej i kopii zapasowej,
  • żądanie przeniesienia danych np. do innego podmiotu przy zmianie umowy,
  • rozszerzone prawo dostępu i wglądu obywatela w jego dane, m.in.: prawo do otrzymania kopii danych,
  • roszczenia odszkodowawcze w sądach cywilnych z tytułu szkód poniesionych z niewłaściwego przetwarzania danych.