La fel de important este faptul că noul regulament introduce mai multe obligații pentru companiile care gestionează datele cu caracter personal. Acestea includ mecanisme mai stricte pentru obținerea consimțământului, notificarea în timp util a unei încălcări a părții afectate și menținerea la minimum a necesității de a obține date cu caracter personal. Persoanele care și-au furnizat datele cu caracter personal vor avea mai multe drepturi, cum ar fi dreptul de acces la și rectificarea datelor, dreptul la restricționarea procesării, dreptul la ștergerea datelor, dreptul la transferabilitatea datelor etc. noua reglementare. Aceste reguli se aplică atât statelor membre ale UE, cât și companiilor din afara Uniunii, care prelucrează datele cetățenilor UE.
Există sancțiuni rigide pentru nerespectarea obligațiilor. Amenzile pot ajunge până la 4% din cifra de afaceri anuală sau 20 de milioane de euro, oricare dintre acestea este mai mare.