A GDPR prevê um profissional denominado Data Protection Officer (DPO), que é o executivo de uma agência reguladora governamental destinada a mediar conflitos e demandas entre consumidores e empresas.

Caso um usuário tenha autorizado uma empresa a utilizar os seus dados pessoais e posteriormente decida suspender essa autorização, a empresa poderá continuar a utilizar os dados por até 180 dias após essa solicitação.

Em caso de incidentes que resultem em vazamento ou violação de dados que podem ferir direitos e a liberdade das pessoas, a organização deverá notificar autoridades em até, no máximo, 24 horas.

Uma diferença entre a GDPR e a LGPD (Lei Geral de Proteção de Dados Pessoais) é que a LGPD recomenda a pseudonimização de dados, ao contrário da GDPR.

Uma loja online de um país que não faz parte da União Europeia terá que se adaptar ao GDPR se quiser enviar produtos para clientes na União Europeia, sem desrespeitar a lei.