Návrh zákona o zpracování osobních údajů je adaptací českého právního řádu na GDPR, transponuje trestněprávní směrnici o ochraně osobních údajů a zajišťuje soulad s úmluvou Rady Evropy o ochraně osob.

Úřad pro ochranu osobních údajů se od počátku legislativního procesu zasadil a zároveň prosazoval následující priority:

1) Nezávislost ÚOOÚ na vládě (§ 49), neboť v opačném případě by se ČR dostala do rozporu s unijním právem, jak celkem třikrát v obdobných případech judikoval evropský soudní dvůr.

2) Výslovné vyjádření, že zákon slouží k ochraně soukromí: „k naplnění práva každého na ochranu soukromí“ (§ 1), neboť návrh zákona je provedením lidského práva, které je zakotveno na národní i unijní úrovni: v článku 7 odst. 1 a článku 10 odst. 2 Listiny, právo na ochranu osobních údajů v článku 10 odst. 3 Listiny a článku 8 Charty základních práv Evropské unie. Do návrhu změnového zákona ÚOOÚ prosadil kodifikaci stávající dobré praxe ústavního soudu, který se na Úřad obrací s žádostí o expertízu v otázkách ochrany soukromí.

3) Sladění hranice dospělosti u nabídky služeb informační společnosti s novým občanským zákoníkem (§§ 34 a 35 NOZ) a s novým trestním zákoníkem (§ 25 NTZ) na 15 let věku, neboť nedospělý nedokáže odpovědně nahlédnout na všechny důsledky pohybu na sociálních sítích a mechanické snižování svéprávnosti po vzoru USA vede k umenšení významu rodičů a nepřiměřenému zvýšení role cizích lidí.

V otázce správního trestání poskytl ÚOOÚ vládě odborné stanovisko, že minimalizace až eliminace pokut pro některé, rozhodnutím vymezené, obce a jiné subjekty veřejného práva by prakticky vyloučila účinný postih úředníka, který porušení právní regulace způsobil.

GDPR míří primárně na nadnárodní správce osobních údajů. Nejnovější kauza sociální sítě Facebook, jejímž prostřednictvím získala britská společnost Cambridge Analytica neoprávněně data téměř 90 miliónů lidí z celého světa, ukazuje potřebu zavedení této úpravy ochrany osobních údajů v podobě obecného nařízení.

Zmiňovaní nadnárodní správci osobních údajů budou pravděpodobně i plátci chystané „digitální“ daně, která činí tři procenta z obratu, neboť mají roční celosvětové příjmy nad 20 miliard korun (Facebook má čistý roční příjem 329 miliard korun, Google 261 miliard korun, Amazon 62 miliard korun a Twitter ztrátu dvou miliard korun). Úřad by měl regulovat správní trestání veřejného sektoru v národních tradicích a jakékoliv změny by měly být systémové pro celé správní trestání. V praxi navíc ÚOOÚ obcím vždy uděloval pokutu nízkou, v řádech desetitisíců korun, kde jedině má regres smysl.

Z toho, že zákon pravděpodobně nenabyde účinnosti stejně jako GDPR, jsou často vyvozovány nepodložené spekulace. Úřad proto připomíná, že podstata regulace ochrany osobních údajů je v obecném nařízení, neboť navrhovaný zákon pouze upřesňuje některé vybrané případy zpracování osobních údajů, které GDPR připouští.