Leegyszerűsítve a vállalkozásoknak nagyon körültekintően kell kezelniük magánszemély ügyfeleik, munkavállalóik, azok hozzátartozóinak adatait, hogy ahhoz illetéktelenek ne férhessenek hozzá. A szabályozást, nem az egyalkalmazottas mikrocégre találták ki, amelyik még kézzel készíti az összes nyilvántartását, hanem az internetes adatlopások elleni védekezés része.
Ennek alapján kell egy meglehetősen szigorú protokoll szerint eljárni a munkaadóknak, emellett stratégiát, cselekvési tervet kell készíteni és felelős személyt kell kinevezni a feladatokra.
Nem érdemes ezt félvállról venni, mert a bírság nagyon durva - ahogy a szabályozás, úgy a bírság is a nagy cégekhez van mérve. Így annak felső határa 20 millió euró, vagy a cég bevételének 4 százaléka - a kettő közül az alacsonyabb összeg. A 20 millió euró nagyjából 6 milliárd forintnak felel meg, ennyit egy kkv-nak bizonyosan nem kell fizetnie.
A statiszikák szerint az átlagos kkv Magyarországon 60 millió forint árbevételt ér el, vagyis esetében 2,4 millió forint a bírság.
Ha csak közepesen súlyos szabálytalanságot tapasztal a hatóság az ellenőrzés során, a cég megúszhatja ennek felével, vagyis az átlagos kkv 1,2 millió forinttal. A szabályozás elvileg lehetőséget ad arra, hogy egyes esetekben - tipikusan kis cégek esetében - kisebb legyen a maximális bírság. Egyelőre a magyar szabályozásban nincs ilyen rendelkezés, elképzelhető azonban, hogy itt lesz még változás.