Consentimento
O GDPR eleva o padrão para as divulgações ao obter o consentimento, pois ele precisa ser "dado livremente, específico, informado e não ambíguo", com os responsáveis usando uma linguagem jurídica "clara e simples" que "claramente se distingue de outros assuntos". Os responsáveis também deverão fornecer provas de que seus processos estejam em conformidade e sejam seguidos em cada caso.
Essencialmente, seu cliente não pode ser forçado a consentir ou não estar ciente de que está consentindo com o processamento de seus respectivos dados pessoais. Ele também deve saber exatamente com o que está consentindo e deve ser informado com antecedência de seu direito de retirar esse consentimento. A obtenção de consentimento requer uma indicação positiva de concordância, não podendo ser inferida a partir de silêncio, caixas pré-marcadas ou inatividade. Isso significa que informar o usuário durante a aceitação passará a ser mais importante.
Novos direitos para indivíduos
O regulamento também cria dois novos direitos para os titulares de dados: um "direito de ser esquecido", que exige que os responsáveis alertem os destinatários posteriores sobre solicitações de exclusão, e um "direito de portabilidade dos dados", que permite que os titulares dos dados exijam uma cópia de seus dados em um formato comum. Esses dois direitos tornam mais fácil para os usuários solicitar que qualquer informação armazenada seja excluída ou que as informações coletadas sejam compartilhadas com eles.
Solicitações de acesso
Os titulares dos dados sempre tiveram o direito de solicitar acesso a seus dados. Entretanto, o GDPR aumenta esses direitos. Na maioria dos casos, você não poderá cobrar pelo processamento de uma solicitação de acesso, a menos que possa demonstrar que o custo será excessivo. O prazo para o processamento de uma solicitação de acesso também cairá para um mês (que poderá ser ampliado para dois meses em algumas circunstâncias). Em certos casos, as organizações podem se recusar a conceder uma solicitação de acesso, por exemplo, quando a solicitação for considerada manifestamente infundada ou excessiva. No entanto, as organizações precisarão ter políticas e procedimentos de recusa definidos e demonstrar por que a solicitação se enquadra nesses critérios.