歐盟資料保護綱領僅為一指導性原則，對會員國沒有實質的拘束力，實際上還是要透過歐盟各國國內立法完成後才能落實，導致會員國間的個資保護規定未能一致。而GDPR之法律位階屬於Regulation層級，Regulation的地位則等同於歐盟歐盟各國國內法，只不過其範圍涵蓋整個歐盟。因此GDPR從2018年5月25日起不需要再經由各國國內立法程序即可直接適用。

1995年資料保護綱領係屬地原則，如企業提供跨境服務，並未於歐盟地區設立，則不受其拘束；在GDPR之規定，即使資料控制者於歐盟境內沒有設立機構，但其在跨境提供商品或服務的過程中，蒐集、處理、利用歐盟居民個人資料，則應適用GDPR之規範。

未來全球所有企業的核心業務，只要涉及歐洲民眾個資的蒐集、處理和利用時，不論公司規模大小，都必須設置資料保護長，PO須為獨立職位，且須向主管機關負責，而非董事會，其責任義務為確認企業做法應符合GDPR的法遵政策及其法遵責任、進行人員教育訓練、資料保護影響評估建議等。資料保護長必須要有效依法履行職責，一旦企業有違反GDPR的規範，資料保護長需要被追究相關的法律責任。

收集資料時須充分且明確告知個資當事人資料的所有用途，任何同意處理個人資料的行為都必須是「出於自由意願、具體明確、充分知情且清楚明白」，且個資當事人現在得基於任何理由隨時撤銷同意。

歐盟要求企業必須強化同意書的條件，不可以使用充滿法律術語和難以理解的文字，且必須和其他事項內容有區隔，可以更容易獲得民眾的了解和同意，像是在契約上清楚標示個資使用的特定目的，甚至用紅框特別圈起來標註給當事人知情。此外GDPR也要求要提供簡明易懂的個資使用同意書，連撤銷個資使用的同意書，也必須一樣簡明易懂且容易撤銷。

再者，GDPR也賦予歐洲民眾可以選擇「不共用資料」的權利，也就是說，歐洲民眾可以拒絕企業共同行銷。

新法規規定，個資當事人應有權將個資從原本的資料持有單位（以常用電子格式）轉移至另一單位，原持有單位不得阻礙干涉。

讓資料的當事人可以要求包括資料控制者以及資料處理者，必須協助抹除當事人個人資料、停止使用當事人個資，這包括供應商和其他的第三方業者在內。他指出，抹除資料的前提條件包括：資料利用與處理目的不同、非法處理個資，或者是資料當事人撤銷同意書等，都可以要求刪除。

GDPR規定，企業（含資料控制者或資料處理者）若發生個人資料外洩事件，必須於知悉後72小時內通報其資料保護主管機關（Data Protection Authority），且若對資料當事人之權益有重大危害之虞，雖未明確規範期限，亦應及時通知資料當事人。

自動化剖析的概念係指：以自動化方式處理個人資料的分析與預測活動、經濟狀況、位置、健康狀況、個人偏好，可信賴度或者行為表現等判定。GDPR賦予資料當事人有權了解某一項特定服務，是如何利用大數據分析、機器學習、人工智慧等技術，進行資料分析和研判的服務，當然也有權反對被如此剖析。

GDPR要求資料控制者必須進行「資料保護影響評估（Data Protection Impact Assessment,簡稱DPIA）」，以辨識業務活動中涉及個人隱私權利的風險，並加以衡量、管理與因應，且於蒐集與處理個人資料前，應評估風險與必要性。

根據 GDPR，違反 GDPR 的組織可能被處以年度全球營業額的 4% 或 2,000 萬歐元的罰款（擇金額較高者罰之）。

• 2018年4月23日，ICANN總裁兼執行長Göran Marby公告Improving our Planning and Preparation一文表示，ICANN決定建立回報機制，追蹤可能影響現行與未來政策發展的地方法規或草案。該機制旨在協助ICANN了解相關地方法規如何影響ICANN，以及如何避免相關風險。
• 2018年5月17日，為因應GDPR施行修訂Temporary Specification for gTLD Registration Data，重新調整WHOIS管理政策。
• 2018年5月25日GDPR施行生效後，主張註冊商EPAG有義務收集註冊人以外的管理與技術聯繫人資料，向德國伯恩法院請求核發強制令，並請求違約損害賠償EUR 250,000.00，即ICANN訴EPAG案。惟遭法院駁回請求。