Vispārīgā datu aizsardzības regula nostiprina personas tiesības uz privātumu. Tas cita starpā nozīmē: ja datu apstrādi neparedz likums, noslēgts pakalpojuma līgums, kāds cits juridisks pienākums vai sabiedriskās intereses (piemēram, tiesības saņemt sabiedriski nozīmīgu informāciju, ko nodrošina žurnālistika vai zinātniskā pētniecība), datu apstrādi var veikt tikai ar personas brīvi, apzināti sniegtu piekrišanu – pretējā gadījumā datu apstrāde ir aizliegta. Īpaša uzmanība regulā pievērsta nepilngadīgo drošībai internetā, ņemot vērā to, ka bērni var mazāk apzināties risku un sekas, ko rada informācijas par sevi, piemēram, privātu fotogrāfiju, publiskošana.
Vienlaikus datu pārzinim – fiziskai vai juridiskai personai, kas apstrādā personas datus profesionāliem vai komerciāliem nolūkiem, – pieaug atbildība, lai datu apstrāde tiktu veikta ne tikai likumīgi, godprātīgi un pārredzami, bet arī gādāt, lai personas dati ir drošībā. Drošības pārkāpums, kura rezultātā notiek nejauša vai nelikumīga apstrādāto personas datu iznīcināšana, nozaudēšana, pārveidošana, neatļauta izpaušana vai piekļuve tiem, ir personas datu aizsardzības pārkāpums.
Datu aizsardzības pārkāpumu gadījumā pārziņa pienākums ir bez kavēšanās par to ziņot uzraudzības iestādei, kas Latvijā ir Datu valsts inspekcija. Savukārt, ja personas datu aizsardzības pārkāpums varētu izraisīt augstu risku personas tiesībām un brīvībām, par notikušo jāinformē arī datu subjekts personiski.
Par personas datu apstrādes pārkāpumiem uzraudzības iestāde var piemērot dažādas sankcijas, tai skaitā datu apstrādes apturēšanu un naudas sodu. Savukārt personai, kurai datu aizsardzības pārkāpumu rezultātā ir radies materiāls vai morāls kaitējums, ir tiesības saņemt kompensāciju.
