Směrnice EU o ochraně osobních údajů (GDPR), kterou předloha přejímá, umožňovala stanovit sankce až do 20 milionů eur (zhruba 540 milionů Kč). Platit by měla pro podniky.
Snížení limitu pro úřady v souladu se směrnicí vysvětlilo vnitro tím, že "nemá smysl stanovit horní hranici ve výši 20 milionů eur, jako to činí pro podnikatelské subjekty". Důvodem je to, že pokuty úřadů zpravidla plynou z veřejných rozpočtů a byly by pouze přesouváním peněz v rámci státního rozpočtu.
Ministerstvo v návrhu rovněž počítá s tím, že souhlas se zpracováním osobních údajů by například v rámci nabídky sociálních sítí mohly dávat už třináctileté děti. Pouze u mladších dětí by byl nutný souhlas jejich zákonného zástupce.
Směrnice GDPR má od poloviny příštího roku pomoci hájit práva občanů EU proti zneužívání jejich dat. Týkat se bude veřejných institucí, jednotlivců i firem, které zpracovávají data uživatelů. Zavádí právo na výmaz či přenos poskytnutých údajů i kontrolu jejich využití. Instituce a firmy budou muset přijmout řadu opatření kvůli zabezpečení osobních údajů. Směrnice podle kritiků zvýší náklady firem.
