Согласно требованиям компании обязаны уведомлять Роскомнадзор не только в случаях подтвержденной утечки данных, но и при выявлении хакерских атак на сервер, на котором организовано их хранение, а также, планирование передачи личных данных за рубеж. Помимо этого, закон разъясняет как оценить принесенный ущерб при утечке данных, и кто может быть уполномочен оценивать причиненный вред. Также, любая организация обязана уничтожить персональные данные гражданина по его первому требованию.
Изменения вступают в силу с марта 2023 года и будут действовать как минимум шесть лет.