Z uredbo Komisije bodo podjetja dobila povsem jasna navodila za izpolnjevanje teh obveznosti, potrošniki pa dodatno zagotovilo o tem, kako bodo njihove težave obravnavane. Podjetja morajo na primer:

- obvestiti pristojne nacionalne organe o incidentu v 24 urah po odkritju kršitve, da bi slednjo čim bolj omejili. Če v navedenem obdobju popolno razkritje ni mogoče, bi morali zagotoviti začetne informacije v roku 24 ur, ostale informacije pa v treh dneh,

- navesti, katere informacije so prizadete in katere ukrepe je ali bo uporabilo podjetje,

- pri ocenjevanju, ali naj obvestijo naročnike (tj. s preskusom za ugotavljanje, ali bo kršitev ogrozila osebne podatke ali zasebnost), bi morala podjetja posebno pozornost posvetiti vrsti ogroženih podatkov, v telekomunikacijskem sektorju predvsem finančnim podatkom, podatkom o lokaciji, internetnim dnevnikom, zgodovini brskanja po internetu, podatkom o e-pošti in razčlenjenim seznamom klicev,

-uporabiti standardizirano obliko (npr. spletni obrazec, ki je enak v vseh državah članicah EU) za obveščanje pristojnega nacionalnega organa.

Komisija želi tudi spodbuditi podjetja k šifriranju osebnih podatkov. Zato bo Komisija v sodelovanju z agencijo ENISA objavila tudi okvirni seznam tehničnih zaščitnih ukrepov, kamor sodijo tehnike šifriranja, zaradi katerih postanejo podatki nerazumljivi nepooblaščenim osebam. Če se kršitev zgodi v podjetju, ki takšne tehnike uporablja, podjetje ne bo dolžno obveščati naročnika, saj taka kršitev dejansko ne bo razkrila naročnikovih osebnih podatkov.

Komisija izvaja ta pravila po javnem posvetovanju leta 2011, kar kaže na široko podporo zainteresiranih strani za usklajen pristop na tem področju. Pravila je potrdil odbor držav članic, skrbno pa sta jih pregledala Evropski parlament in Svet. Sprejeta so v obliki uredbe Komisije, ki ima neposreden učinek, zato dodaten prenos v nacionalno zakonodajo ni potreben, veljati pa bodo začela dva meseca po objavi v Uradnem listu Evropske unije.