個人でウェブサービスやアプリを公開しているため、GDPRについて確認しました。その結果、自分で結構勘違いしていた点が多かったので整理しておきます。
なお、読んだ本は「Q&Aで学ぶGDPRのリスクと対応策(中崎 尚)」です。現時点ではこちらの本が網羅的で参考になります。この記事内にも参考にしたページ数を示します。

 なお以下の内容はあくまで自分の理解であり正しいかは不明なことを書き添えておきます。


Q.対象はEUからのアクセス?

A.正しくはEEA(欧州経済領域)で、EUの他にアイスランド、リヒテンシュタイン、ノルウェーが含まれる。


Q.何らかの同意を取れば問題ない?

A.そうではない。「同意」のためには以下4つを満たす必要がある。(p.94)
1.自由に与えられ
2.特定の
3.情報提供を受けたうえでの
かつ
4.不明瞭ではないデータ主体の意思表示
この1の任意性については「選択の余地がない場合」「コントールできていない場合」は、任意性が無かったと判断される。
ここで「同意することが、サービス提供等の条件とされている場合」は任意性が否定される。典型的には「データ主体がデータ処理に同意しない限り、サービス提供を受けられない場合」を指す。
ここにもあるように「同意するか、利用をやめるか」はNGとなるかもしれない。
GDPR施行、“同意の強制”でさっそくFacebookとGoogleに対し初の提訴 | TechCrunch Japan


Q.EU(EEA)からリクエストがある可能性があるすべてのサービスが対象?

A.対象の定義は「域内に所在するデータ主体に対する商品または役務の提供」なので、EEA向けに提供していない場合、GDPRの対象とはならない。EEA向けなのかは以下のことから判断される。(p.46)
・EU域内からのアクセス可能性
・使用言語
・決済に利用可能な通貨
・その他のウェブサイト上の記載
そのため、そもそもGDPR対象に入るかを検討する必要がある。