Având în vedere Carta Drepturilor Fundamentale a Uniunii Europene (care are caracter obigatoriu pentru instituțiile Uniunii și pentru statele membre, în contextul aplicării dreptului Uniunii), atât instituțiile Uniunii Europene (UE), cât și statele membre ale UE, în aplicarea dreptului UE, trebuie să respecte obligațiile care derivă din Cartă.
În acest context, articolul 11 din Cartă prevede obligația respectării dreptului la liberă exprimare, care va trebui luat în considerare inclusiv în cadrul aplicării GDPR. Totuși, de multe ori dreptul la liberă exprimare poate intra în conflict cu principiile și regulile privind prelucrarea datelor personale.
Din această cauză, prin GDPR s-a urmărit atingerea unui echilibru între dreptul la liberă exprimare și obligațiile privind prelucrarea datelor care derivă din GDPR. În concret, articolul 85 din GDPR prevede că echilibrul între dreptul la liberă exprimare și obligațiile privind prelucrarea datelor se va atinge prin legislația adoptată, în domeniu, de către statele membre.
În continuare, dacă prelucrarea se face în domeniul jurnalismului, de exemplu, pot fi prevăzute derogări de la norme precum cele privind principiile GDPR (pentru o listă completă a principiilor, a se vedea acest articol) sau cele privind drepturile persoanei vizate de prelucrarea datelor. Însă se va ține cont de necesitatea acestor derogări pentru atingerea intereselor privind libera exprimare.
Elementul cel mai important legat de acest subiect este reprezentat de competența statelor membre în a adopta norme derogatoare de la GDPR, în scopul libertății de exprimare. Astfel, apare o problemă, în sensul că poate apărea riscul unei legislații nearmonizate în această sferă a domeniului protecției datelor. În contextul în care foarte multe publicații oferă conținut online, această lipsă de armonizare ar putea pune probleme.
Rămâne de văzut, în concret, cum vor alege statele membre (inclusiv România) să abordeze această problemă și cum vor fi soluționate, în acest context, situațiile transfrontaliere (prelucrarea de date de către o publicație online de la persoane care sunt situate în diverse state membre, de exemplu). Totuși, în anticiparea unor eventuale regimuri juridice diferite, este prevăzut în preambulul GDPR (care are doar rol orientativ și de ghidare, negenerând obligații, în sine) că ar trebui să se aplice dreptul statului membru sub incidența căruia intră operatorul (punctul 153 din preambul).
GDPR este, din 25 mai 2018, cadrul legal unic în Uniunea Europeană în ceea ce privește protecția datelor personale și modalitatea folosirii acestora.