Если вы хотите узнать, что на самом деле говорит GDPR, лучший источник — это официальный сайт: https://gdpr.eu/
Также существует множество сайтов, предлагающих общее резюме смысла закона. Их можно найти с помощью обычного поискового движка.
Мое толкование статуса юридических консультаций от любого случайного человека (на Discourse или в другом месте) — «caveat emptor» (покупатель пусть будет осторожен). Если вы управляете системой, содержащей чувствительные персональные данные граждан ЕС, то только вы (или ваша компания) несете ответственность за соблюдение закона. Если вы последуете плохому совету и он окажется неверным, последствия лягут на ваши плечи. Например, представьте, что вас остановила полиция за движение со скоростью 100 миль в час в зоне ограничения 30 миль в час. Как вы думаете, какова будет их реакция, если вы скажете: «Случайный человек X сказал мне, что мне можно ехать так быстро по этой дороге»? Ваша обязанность — убедиться, что любой полученный вами совет верен. Даже если у вас есть договор со случайным человеком X, по которому он должен предоставлять вам юридические консультации по GDPR, это не станет защитой. Вам все равно пришлось бы хотя бы проверить, имеет ли этот человек квалификацию для предоставления таких консультаций.
До выхода на пенсию я работал менеджером по кибербезопасности. Я провел слишком много долгих часов с нашим внутренним юрисконсультом и координатором по GDPR, обсуждая тонкости закона. Это научило меня тому, что его нельзя свести к нескольким словам, и его также невозможно должным образом оценить человеку со стороны, который не знает вашу систему, точный состав данных в ней, а также то, кто имеет доступ к этим данным и по каким причинам.