DPA поширювався лише на компанії, які контролюють обробку персональних даних (контролери). GDPR поширив закон на ті компанії, які обробляють персональні дані від імені контролерів (процесорів).
GDPR замінює Директиву про захист даних і повністю скасує DPD і стане національним законодавством для всіх держав-членів ЄС до 25 травня 2018 року. GDPR базується на ключових принципах DPD із більш конкретними вимогами щодо захисту даних, глобальним масштабом і жорсткішим правозастосуванням, а також не – штрафи за дотримання вимог.
У той час як GDPR визначає спеціальні категорії персональних даних, PDPA не розрізняє конкретні категорії персональних даних. Крім того, на відміну від GDPR, PDPA не розрізняє автоматизовані та неавтоматизовані засоби обробки даних.
На відміну від аналогічних законів США про захист даних, які обмежують регульовані дані фінансовою або медичною інформацією, GDPR захищає та регулює різні сектори інформації, які можуть бути пов’язані з суб’єктами даних, зокрема інформацію про місцезнаходження, IP-адреси та дані файлів cookie.
GDPR містить суворіші вимоги до передачі персональних даних за межі ЄС. DPDPA має менш суворі вимоги щодо передачі персональних даних за межі Індії.
Зміни правил у GDPR Великобританії були розроблені, щоб поставити GDPR у контекст Великобританії. DPA Великобританії кодифікує правила GDPR у законодавстві Великобританії та включає додаткові вимоги або винятки до GDPR.