Jak podkreśliło MC, propozycja jest jednym z najobszerniejszych projektów aktów prawnych, ponieważ oprócz całkiem nowej ustawy o ochronie danych osobowych, która zastąpi tą obowiązującą od 20 lat - obejmuje zmiany w 133 innych ustawach. Konieczność wprowadzenia całkiem nowej ustawy ministerstwo uzasadniło tym, że obowiązująca ustawa z jednej strony zawiera przepisy analogiczne do regulacji z RODO, ale są w niej też przepisy odmienne. Zawiera też regulacje, których RODO już nie przewiduje, a brak w niej np. koniecznych przepisów dotyczących certyfikacji.
Projekt dotyczy tylko i wyłącznie danych osobowych osób fizycznych. W wielu miejscach zakłada daleko posuniętą digitalizację. Jako przykład MC podaje sektor ubezpieczeniowy, w ramach którego przetwarzanie danych osobowych dotyczących stanu zdrowia uzależnione jest obecnie od uzyskania pisemnej zgody ubezpieczonego. Poprzez zastąpienie wymogu pisemności wymogiem zgody wyraźnej, projekt otwiera sektorowi ubezpieczeniowemu drogę do jego digitalizacji, czyniąc go bardziej konkurencyjnym, przy jednoczesnym poszanowaniu praw ubezpieczonych - podkreślił resort.
Nowością jest określenie po raz pierwszy zasad przetwarzania danych biometrycznych w obszarze zatrudnienia, w sektorze bankowym oraz ubezpieczeniowym. Dane takie będą mogły zostać pozyskane przez bank oraz ubezpieczycieli celem weryfikacji tożsamości klientów. W przypadku zatrudnienia, przetwarzanie przez pracodawcę danych biometrycznych obejmować ma tylko dane osobowe pracownika, jeśli dotyczą one stosunku pracy i pracownik wyrazi na to zgodę.
Wejście w życie nowej ustawy oznaczać będzie zniknięcie dotychczasowego urzędu Głównego Inspektora Ochrony Danych Osobowych (GIODO). Zastąpi go Prezes Urzędu Ochrony Danych Osobowych, powoływany na wniosek Prezesa Rady Ministrów przez Sejm na 4-letnią kadencję. Prezes będzie mógł mieć do trzech zastępców, przy czym dwóch powoływanych na wniosek Ministra Cyfryzacji, a jednego - na wniosek Ministra Spraw Wewnętrznych i Administracji. Przy Prezesie Urzędu będzie działać Rada do Spraw Ochrony Danych Osobowych - organ opiniodawczo-doradczy.
Według Ministerstwa Cyfryzacji nowe przepisy doprowadzą do skrócenia postępowań dotyczących kwestii ochrony danych osobowych. Zniesiona zostanie bowiem dwuinstancyjność postępowania, a postępowania kontrolne prowadzone przez Prezesa Urzędu będą mogły trwać maksymalnie 30 dni. MC twierdzi, że obecnie na uzyskanie prawomocnego orzeczenia w sprawie dotyczącej ochrony danych osobowych czeka się średnio 600 dni. Nowy organ będzie uprawniony również do wydawania rekomendacji w zakresie sposobów zabezpieczania danych osobowych.
Limit wydatków z budżetu państwa na wykonanie nowej ustawy określono na 27 mln zł w 2018 r., w latach 2019-2026 mają być one rzędu 16-16,5 mln zł rocznie, a w 2027 r. sięgnąć 18 mln zł.