Исполнять закон необходимо любому бизнесу, вне зависимости от юрисдикции, в случае, если в работе он использует данные жителей Евросоюза. Прямое действие он имеет в 28 странах-участницах. Требования связаны с хранением данных в обезличенном и зашифрованном виде, они должны быть защищены. В случае утечки информации необходимо уведомить регулирующие органы в течение 72 часов.
Отдельная часть правил связана с получением согласия пользователя на обработку данных: она должна передаваться в «понятном и доступном виде». С начала этого года крупнейшие цифровые корпорации отправляли письма пользователям с новыми условиями. Санкции за неисполнение могут достигать €20 млн или до 4% годового оборота – в зависимости от того, какая сумма больше.