Namjera i smisao GDPR-a su uskladiti regulativu u području upravljanja osobnim informacijama i drugim podacima koji su vezani uz pojedince na razini cijele Europske unije i njezinih država članica, te stoga zahtijeva veći uvid u to gdje se i kako osobni podaci koriste (uključujući npr. podatke o kreditnim karticama, financijskom stanju i podatke o zdravlju), kako se spremaju i prenose te kako je uređen pristup tim podacima, odnosno kako organizacije nadgledaju tko ima uvid u osobne podatke korisnika
GDPR stupa na snagu 25. svibnja 2018. i neće utjecati samo na tvrtke koje posluju u EU, već i na sve tvrtke u svijetu koje svoje proizvode i usluge nude građanima EU, ili koje pak na bilo koji način prate navike građana Europske unije, primjerice tako što prate njihove navike kupovanja pojedinih proizvoda. Istraživanje pokazuje kako čak 47 posto organizacija u svijetu ima ozbiljne dvojbe hoće li se moći na vrijeme uskladiti s ovim fiksnim rokom za implementaciju.
Rezultati Veritasovog GDPR izvještaja, za čiju je izradu napravljena analiza u 900 tvrtki širom Europe, Sjedinjenih Američkih Država i azijsko-pacifičke regije, također pokazuju kako je više od 20 posto ispitanih (21%) zabrinuto zbog mogućih otpuštanja, jer su tvrtke u strahu kako bi smanjivanje broja radnika moglo biti jedno od posljedica financijskih kazni zbog neusklađenosti s GDPR-om.
Tvrtke su također zabrinute zbog mogućeg utjecaja kojeg bi neusklađenost s Općom regulativom o zaštiti podataka mogla imati na njihov brend i imidž, posebice kada i ako ove informacije dođu do javnosti jer GDPR predviđa da se o svim sigurnosnim upadima u sustave mora u kratkom roku obavijestiti javnost. Istovremeno, 19 posto ispitanih tvrtki plaši se negativnih napisa u medijima i negativnih objava na društvenim mrežama, zbog čega bi mogle izgubiti korisnike i kupce. Dodatno, jedna od deset tvrtki (točnije, 12%) posebno je zabrinuta za moguću štetu svojem brendu koja bi se mogla dogoditi kao posljedica negativnih medijskih napisa.
Dodatno, 39 posto ispitanih tvrtki reklo je kako njihova organizacija ne može precizno i točno identificirati te locirati relevantne podatke u svojim IT sustavima. To je još jedan ključan kriterij usklađenosti jer Opća uredba o zaštiti podataka nalaže da tvrtke moraju – uvijek kada ih se to traži – osobama uručiti kopiju svih podataka koje o njima čuvaju ili ih pak moraju, na zahtjev, pobrisati u roku od 30 dana.
Također je raširena i zabrinutost oko retencije (politike čuvanja) podataka. Više od 40 posto ispitanih organizacija (42%) priznaje kako nemaju uspostavljen mehanizam kojim bi se utvrđivalo koje je podatke potrebno spremiti ili obrisati, ovisno o njihovoj vrijednosti za poslovanje. Prema GDPR-u, tvrtke mogu čuvati osobne podatke ako se oni i dalje koriste za namjenu koja je korisnicima opisana u trenutku prikupljanja podataka, ali ih moraju obrisati kada ti podaci više nisu potrebni za opisanu svrhu.
