Celem reformy jest ujednolicenie przepisów dotyczących ochrony danych i wzmocnienie prawa do prywatności w Internecie. Zmiany mają także wspomóc rozwój biznesu internetowego. Komisja Europejska proponuje np. likwidację obowiązku zgłoszenia przez przedsiębiorstwa działań w zakresie ochrony danych organom nadzorującym, co według Unii kosztuje rocznie 130 mln euro. Zniesienie rozmaitych zbędnych wymogów administracyjnych, takich jak konieczność zawiadamiania, ma przynieść biznesowi łącznie 2,3 mld euro oszczędności co roku. Organizacje będą musiały kontaktować się tylko z jednym krajowym organem nadzorującym ochronę danych (w Polsce jest to GIODO). 

Zwiększą się jednak uprawnienia takich instytucji – w razie naruszeń będą mogły nakładać na firmy kary finansowe w wysokości do 1 mln euro albo do 2 procent rocznych obrotów. Osoby fizyczne uzyskają łatwiejszy dostęp do własnych danych. Nowe „Prawo do bycia zapomnianym” ma umożliwić ludziom usuwanie informacji o sobie z internetowych baz. Dane osobowe mają być lepiej chronione przed profilowaniem w celach komercyjnych, zaostrzono zasady ich przekazywania do krajów poza Unią. 

Według Fundacji Panoptykon w projekcie brakuje przede wszystkim twardego egzekwowania nowego prawa ochrony danych osobowych w stosunku do ponadnarodowych korporacji. Nie zabezpiecza on także przed zjawiskiem forum shopping, czyli wybieraniem przez zagraniczne firmy najłagodniejszych organów do załatwiania swoich spraw na kontynencie europejskim (tak robił np. Facebook).