Jedna z nejdůležitějších věcí je upřesnění, kdy jsou data opravdu osobní a kdy z nich příjemce reálně nedokáže určit konkrétního člověka, typicky u kvalitně pseudonymizovaných datasetů. V praxi to může firmám pomoci při práci s daty napříč skupinou, při analýzách, výzkumu nebo při vývoji nových služeb. Pokud jsou data nastavená tak, že identifikace člověka není reálně možná, může být jednodušší takové zpracování obhájit a nastavit. Podobně u AI návrh výslovně potvrzuje, že některé využití osobních údajů pro vývoj a trénink AI může být za splnění podmínek postavené na oprávněném zájmu, což v praxi přináší vyšší právní jistotu a menší riziko, že dobře nastavený projekt spadne jen kvůli nejasnému výkladu.

Změny se týkají i cookies. U základní analytiky, jako je měření návštěvnosti, by za určitých podmínek nemuselo být nutné vždy žádat souhlas, což může zjednodušit uživatelskou zkušenost a zároveň zlepšit kvalitu dat pro weby a e-commerce. Povinnost být vůči uživatelům transparentní a nabídnout volbu ale zůstává. 

Praktický dopad bude i u bezpečnostních incidentů, prodloužení lhůty pro nahlášení z 72 na 96 hodin dává firmám více času ověřit, co se stalo, sjednotit interní komunikaci a zareagovat bez zbytečného chaosu. 

 

Uvedené návrhy jsou teprve v legislativním procesu a finální podoba pravidel se může významně změnit. V této fázi je vhodné zejména zmapovat, jaká data firma sbírá a proč, a identifikovat oblasti, které by mohly vyžadovat úpravy (např. cookies a tracking), nikoli je plošně měnit už teď.