GDPRは、EU市民またはEU居住者を保護する法律である。
サービスを提供する企業の所在地がEU外であっても、EU内の人々に関連するデータを対象とするか収集する限り、どこの組織にも遵守する義務を科す。

GDPRの規制内容は膨大な為、当ページには書ききれないが、大まかに下記の要素に分けられる。

データの保護

設計の段階からデータ保護を考慮する必要がある

説明責任

データ管理者はGDPRに準拠していることを実証し、示す必要がある

セキュリティ

データを安全に処理する必要がある

同意

情報を処理する為の同意を「明確でわかりやすい言葉」で提示し、同意を得る必要がある

プライバシー権

個人データに関して、処理通知を受ける権利・消去する権利・異議を唱える権利・処理を制限する権利を認める必要がある

プライバシーとセキュリティの基準に違反した場合は厳しい罰金が科せられる。
罰金額は深刻度により異なりる。

それほど深刻ではない違反は、最高1,000万ユーロ、または前会計年度からの会社の全世界の年間収益の2％のいずれか高い方。
より深刻な侵害は、最高2,000万ユーロ、または前会計年度からの会社の全世界の年間収益の4％のいずれか高い方の罰金が科せられる可能性がる。

正確な罰金はEU各国のデータ保護規制当局によって管理されている。

EU一般データ保護規則

ジーディーピーアール

General Data Protection Regulation