kategórie osobných údajov do tretích krajín, ktoré nezaručujú primeranú úroveň ochrany osobných údajov, spracúvanie genetických údajov, biometrických údajov a údajov týkajúcich sa zdravia; ako aj úprava spracúvania osobných údajov na vedecké účely, účely historického výskumu alebo štatistické účely. Zároveň nariadenie určuje členským štátom prijať pravidlá týkajúce sa postavenia a organizácie dozorného orgánu v rámci vnútroštátneho právneho poriadku členského štátu, ako aj procesné pravidlá pre výkon kontroly a konania o ochrane osobných údajov dozorným orgánom. Piata časť návrhu zákona je venovaná úradu, jeho pôsobnosti, právomociam a jeho personálnemu aparátu. Je venovaná tiež kódexom správania, certifikátom, procesu akreditácie, monitorujúcemu a certifikačnému subjektu. Tretia hlava piatej časti je venovaná kontrole, štvrtá hlava konaniu o ochrane osobných údajov. Piata hlava je venovaná pokutám, správnym deliktom a poriadkovým pokutám, teda sankciám.
Šiesta časť upravuje spoločné, prechodné a záverečné ustanovenia.
Nasledujú novelizačné články priamych noviel, od čl. II po čl. XIII, článok XIV ustanovuje predpokladanú účinnosť návrhu zákona.
Návrh zákona zachováva zásady spracúvania osobných údajov doteraz uplatňované v zákone č. 122/2013 Z. z.
Vo vzťahu k právnym základom spracúvania stanovuje návrh zákona tieto prípady zákonného spracúvania
1.spracúvanie na základe súhlasu dotknutej osoby
2.spracúvanie bez súhlasu dotknutej osoby na účely nevyhnutné na plnenie zmluvy, ak zmluvnou stranou je dotknutá osoba, alebo aby sa na základe žiadosti dotknutej osoby vykonali opatrenia pred uzavretím zmluvy,
3.spracúvanie nevyhnutné na splnenie zákonnej povinnosti prevádzkovateľa;
4.spracúvanie nevyhnutné, na ochranu životne dôležitých záujmov dotknutej osoby alebo inej fyzickej osoby;
5.spracúvanie nevyhnutné na splnenie úlohy realizovanej vo verejnom záujme alebo pri výkone verejnej moci zverenej prevádzkovateľovi;
6.spracúvanie nevyhnutné na účely oprávnených záujmov, ktoré sleduje prevádzkovateľ alebo tretia strana, s výnimkou prípadov, keď nad takýmito záujmami prevažujú záujmy alebo základné práva a slobody dotknutej osoby, ktoré si vyžadujú ochranu osobných údajov, najmä ak je dotknutou osobu dieťa, pričom tento právny základ sa nevzťahuje na spracúvanie vykonávané orgánmi verejnej moci pri výkone ich úloh;
7.spracúvanie nevyhnutné na účely akademické, umelecké, literárne alebo na účely informovania v masovokomunikačných prostriedkoch;
8.prevádzkovateľ, ktorý je zamestnávateľom dotknutej osoby, je oprávnený sprístupniť, poskytovať alebo zverejniť jej osobné údaje v rozsahu titul, meno, priezvisko, pracovné, služobné alebo funkčné zaradenie, odborný útvar, miesto výkonu práce, telefónne číslo, faxové číslo alebo elektronická pošta na pracovisko a identifikačné údaje zamestnávateľa, ak je to potrebné v súvislosti s plnením pracovných, služobných alebo funkčných povinností dotknutej osoby. Sprístupnenie, poskytovanie alebo zverejnenie osobných údajov nemôže narušiť vážnosť, dôstojnosť a bezpečnosť dotknutej osoby.
9.prevádzkovateľ môže spracúvať genetické údaje, biometrické údaje a údaje týkajúce sa zdravia aj na právnom základe uvedenom v osobitnom predpise alebo medzinárodnej zmluve, ktorou je Slovenská republika viazaná;
10.právne základy uvedené v súvislosti so spracúvaním osobitnej kategórie osobných údajov (rasový a etnický pôvod, politické názory, náboženské a filozofické presvedčenie alebo členstvo v odborových organizáciách, genetické údaje, biometrické údaje na individuálnu identifikáciu fyzickej osoby, údaje týkajúce sa zdravia, údaje týkajúce sa sexuálneho života alebo sexuálnej orientácie fyzickej osoby).