Z drugiej jednak strony niektóre z przewidywanych rozwiązań mogą skutkować utrudnieniami w prowadzeniu działalności, w stopniu znacznie przewyższającym te ułatwienia.
Jedną z najbardziej niepokojących propozycji jest nowa definicja „danych osobowych", zgodnie z którą mają to być wszelkie dane dotyczące osoby fizycznej zidentyfikowanej lub możliwej do zidentyfikowania pośrednio lub bezpośrednio. Jej przyjęcie rozszerzy stosowanie rozporządzenia na dane, których związek z osobą jest znikomy (np. adres IP). Dodatkowo ocena, czy mamy do czynienia z danymi osobowymi, ma być dokonywana abstrakcyjnie, a nie przez pryzmat konkretnego administratora. Brak również dostatecznego wykorzystania koncepcji danych spseudonimizowanych, które nie pozwalają bez dodatkowych operacji ustalić tożsamości osoby. Ich przetwarzanie niesie zdecydowanie mniejsze zagrożenia, a wykorzystanie powinno oznaczać możliwość rezygnacji z niektórych obowiązków, np. informacyjnych.
Kolejną kwestią jest silnie popierany przez MAC wymóg wyraźniej zgody podmiotu danych. Takie rozwiązanie jest szczególnie zaskakujące w świetle doświadczeń z regulacjami dotyczącymi cookie, gdzie udało się wypracować kompromis dający możliwość udzielenia zgody poprzez ustawienia przeglądarki. Dla użytkowników Internetu brak takiego rozwiązania w rozporządzeniu będzie oznaczać konieczność potwierdzania możliwości wykorzystania informacji zapisanych w cookies obok banerów informujących o ich stosowaniu.
Z polskiej perspektywy nowością są sankcje finansowe nakładane za naruszenie zasad ochrony danych. Zaproponowane rozwiązania mają jednak wiele wad. Po pierwsze, nie wiadomo, czy sankcje mogą być nakładane tylko na administratora, czy też inne podmioty. Wątpliwości budzi też obowiązek nałożenia grzywny, bez możliwości odstąpienia w przypadkach naruszeń mniejszej wagi. Dodatkowo katalog czynów zagrożonych sankcją zawiera wiele niejednoznacznych przypadków. Przewidziano również niezwykle wysokie progi kar (do 1 mln tys. euro lub 2 proc. rocznego obrotu przedsiębiorstwa).
Czy mając na uwadze wspomniane propozycje, przedsiębiorcy mają się czego obawiać? Trudno to jednoznacznie ocenić, dopóki prace jeszcze trwają. Szczególnie że już można wskazać na ich korzystne wyniki. Prawo do bycia zapomnianym, które w pierwotnym kształcie było niemożliwe do zrealizowania, zostało dostosowane do rzeczywistości. Również rozmowy dotyczące uzasadnionego interesu, jako przesłanki przetwarzania danych, oraz prawa do przenoszenia danych, zmierzają w kierunku osiągnięcia kompromisu. Podobnie jak z ograniczeniami wykorzystywania profili, które mają mieć zastosowanie wyłącznie, gdy decyzje automatycznie podjęte na ich podstawie mają skutek prawny lub istotny wpływ na osobę.
Niemniej dla przedsiębiorców najważniejszą kwestią jest przejrzystość regulacji. Projekt w obecnej wersji jej nie gwarantuje, co będzie skutkować brakiem pewności obrotu. Dodatkowo realizacja niektórych z obowiązków będzie trudna lub związana ze znacznymi kosztami. W projekcie zawarte są również propozycje, które tylko pozornie działają na korzyść konsumentów. Ich wdrożenie może zahamować rozwój innowacyjnych usług. Dlatego konieczna jest dalsza dyskusja.
