Projekt ustawy przewiduje podstawy do przetwarzania danych osobowych, w tym danych biometrycznych, przetwarzania związanego z wdrożeniem monitoringu wizyjnego oraz przetwarzania danych osobowych osób zmarłych. Ponadto projekt ustawy ustanawia prawa osób, których dane dotyczą, obowiązki administratorów danych, w tym przyjęcie zasady „privacy by design” i wymogów dotyczących bezpieczeństwa przetwarzania oraz przeprowadzanie oceny skutków dla ochrony danych (tzw. DPIA).
Projekt zawiera także wymogi sektorowe, wśród których znajdują się zasady dotyczące przetwarzania danych osobowych przez pracodawców. Projekt określa także wymogi dotyczące zgłaszania naruszeń ochrony danych, w szczególności nakładając na administratorów danych obowiązek notyfikowania ich organowi nadzorczemu nie później niż 72 godziny od momentu, w którym dowiedzieli się o naruszeniu. Wyjątek stanowią przypadki, w których jest mało prawdopodobne, aby naruszenie zagrażało prawom lub wolnościom osoby fizycznej. Ponadto Projekt ustawy przewiduje, że międzynarodowe przekazanie danych może nastąpić, gdy:
- państwo trzecie lub organizacja międzynarodowa zapewniają odpowiedni poziom ochrony danych osobowych;
- odbiorca danych zapewnia odpowiednie gwarancje ochrony danych osobowych; oraz
- przekazywanie miałoby odbywać się na podstawie zatwierdzonych reguł korporacyjnych zgodnych z wymogami projektu ustawy.
Decyzje o ściganiu przestępstw w dziedzinie ochrony danych osobowych, a także o zastosowaniu innych środków przewidzianych prawem ma podejmować organ nadzorczy. W tej kwestii projekt ustawy przewiduje kary w wysokości do 150 mln UAH (ok. 4 mln euro) oraz 8% całkowitego rocznego obrotu takiego podmiotu prawnego za ostatni rok obrotowy.