Databeskyttelsesforordningen har direkte virkning i Danmark, hvilket betyder, at der som udgangspunkt ikke må være anden dansk lovgivning, der regulerer behandling af personoplysninger, i det omfang dette er reguleret i forordningen. Databeskyttelsesforordningen giver dog inden for en lang række områder mulighed for, at der i national ret, eksempelvis i en administrativ forskrift, kan fastsættes bestemmelser for at tilpasse anvendelsen af forordningen. Det gælder artikel 6, stk. 2 og 3, for lovlig behandling af personoplysninger og artikel 9, stk. 2, litra b og g-j, og stk. 4, for så vidt angår fastsættelse af undtagelser til forbuddet om behandling af særlige kategorier af personoplysninger. Ud over en bestemmelse, der gennemfører forordningens artikel 9, skal der være et lovligt grundlag for behandling i forordningens artikel 6.
Medlemsstaternes mulighed for at indføre mere specifikke bestemmelser for behandling af personoplysninger for at tilpasse anvendelsen af databeskyttelsesforordningen er overordnet ikke en ændring i forhold til tidligere gældende ret. Hvis der ved lov er fastsat en bemyndigelse, der rummer mulighed for at fastsætte regler om behandling af personoplysninger, kan danske særregler således fastsættes i eksempelvis en bekendtgørelse. Særreglen skal dog opfylde en række krav i databeskyttelsesforordningen. I den forbindelse bør den regeludstedende myndighed gennemgå tjeklisterne i pkt. 2.14.4.7 og 2.14.4.8, der stammer fra betænkning 1565/2017 om databeskyttelsesforordningen, for at vurdere, om den danske særregel ligger inden for rammerne af databeskyttelsesforordningen.