Pirmkārt, likums pieprasa atļauju datu vākšanai un apstrādei. Tas tiek soli tālāk par esošajām prasībām, jo atļaujai no katra indivīda ir jābūt nepārprotamai un pierādāmai, ja to prasīs regulators. Bērni atļauju nevarēs sniegt bez vecāku vai legāla pārstāvja apstiprinājuma. Jābūt arī nodrošinātai iespējai šo atļauju jebkurā laikā atsaukt.
Otrkārt, regula fokusējas uz piekļuvi datiem un to izmantošanu, kā arī sniedz "tiesības būt aizmirstam". Mums kā pilsoņiem svarīgākās daļas skar iespējas iegūt informāciju par visiem datiem, ko kāds bizness par mums glabā. Papildus, mums būs tiesības pieprasīt informāciju par to, kā šie dati tiek izmantoti, kādiem nolūkiem, kam ir pieeja, kuras datu kategorijas tiek izmantotas un tamlīdzīgi. Viens no svarīgākajiem šīs daļas principiem - tiesības būt aizmirstam, kas nozīmē, ka cilvēkiem ir tiesības pieprasīt ar sevi saistītu personālo datu dzēšanu, ja tas atbilst regulācijā noteiktajiem kritērijiem (kas ir pietiekoši plaši, lai, piemēram, izdzēstu neglaimojošus Google meklētāja rezultātus).
Treškārt, uzsvars uz aizsardzību un cilvēku informētību par problēmām šajā jautājumā. Tas nozīmē, ka uzņēmumiem ir jānodrošina Tavu datu aizsardzība. Bet, ja tas neizdodas un tie ir nopludināti (piemēram, pēc hakeru uzbrukuma), tad kompānijai ir pienākums informēt Tevi, ja šis zudums var radīt nopietnas sekas (piemēram, kredītkaršu datu nokļūšana hakeru rokās).
Ceturtkārt, visai datu apstrādei ir jābūt legālam pamatam, atbilstoši regulācijas nostādītajiem kritērijiem. Kompānijām nav tiesības pēkšņi izdomāt, ka dati tiks izmantoti jaunam nolūkam, ja lietotājs tam nav piekritis un/vai tas neatbilst vismaz vienam likuma kritērijam.