DS
Типовой комплаенс, вроде pci dss — он в основном про чеклисты. "должно быть так и так"
а в gdpr вообще чеклистов нет, он про процессы
собственно в основном про то, что
a) есть внятное описание какие персональные данные обрабатываются и как
b) эта обработка не избыточна
c) есть отвественный
d) по запросу пользователя ему подробно покажут что про него есть
e) после того как в данных отпала нужда или пользователь попросил их удалить — они удаляются.
Важно, что правила по которым данные передаются третьим сторонам тоже описаны и не оставляют места для злоупотреблений, эти третьи стороны тоже GDPR-compliant и техническая защита адекватна