| הגדרת "מידע אישי" | כל נתון על אדם מזוהה או הניתן לזיהוי | Personal data — any information relating to an identified or identifiable natural person | דומה |
| תפקיד DPO | חובה ל-5 קטגוריות (גוף ציבורי, מחזיק, סוחר מידע, ניטור, מידע רגיש) | חובה ב-3 תרחישים — Public authority, large-scale monitoring, large-scale sensitive data | דומה |
| זכות לשכחה (Right to Erasure) | אין זכות שכחה מלאה — רק מחיקה לפי תנאים מצומצמים | GDPR Article 17 — זכות מלאה למחיקה במגוון נסיבות | שונה |
| דיווח אירוע אבטחה | דיווח לרשות לפי תקנות אבטחת מידע 2017 (לא הוסדר במפורש בתיקון 13) | 72 שעות לרשות, "ללא דיחוי" לנושאי מידע אם הסיכון גבוה | שונה |
| עיצומים | מאות אלפים עד מיליוני ש"ח. אין רף סטטוטורי "אחוז מהמחזור" | עד 20M€ או 4% מהמחזור הגלובלי השנתי — הגבוה מביניהם | שונה |
| הסכמה | חייבת להיות מודעת, מפורשת וניתנת לחזרה (גילוי דעת 2/2026) | Freely given, specific, informed, unambiguous + explicit לקטגוריות מיוחדות | דומה |
| העברת מידע לחו"ל | תקנות העברה לחו"ל 2001 — רשימת מדינות, "הגנה נאותה" | Adequacy decisions, SCCs, BCRs, Article 49 derogations | דומה |
| תסקיר השפעה (DPIA) | דרישה לסיכון גבוה — נדרשת בגילויי דעת ובפרקטיקה | Article 35 — חובה לסיכון גבוה ב-9 תרחישים סטטוטוריים | דומה |