Po spomenutome GDPR-u svi podaci kojima se može točno identificirati neka osoba (npr. mail ili OIB) spada u identifikacijski podatak i možeš ih prijaviti kada GDPR uskoro stupi na snagu. Druga priča je to što su tu regulativu pisale osobe nestručne u informatičkom području pri čemu je nemoguće da ti dođeš na npr. šalter neke poslovnice (izuzev naravno banaka, policije i ostalih koji moraju imati tvoje podatke) i kažeš da ti u periodu od mjesec dana obrišu sve informacije o tebi iz svih baza podataka, svih backupa (pri čemu će prvo morati odraditi restore svakog pojedinog backupa samo za tebe) i ostalog što postoji, a međusobno izmjenjuje tvoje podatke i tako za svaku osobu svaki dan koja se eventualno odluči da ima viška slobodnog vremena i ide se malo zabaviti sa svojim zahtijevima, tako da mislim da će lokalni državni zakoni morati ovo regulirati na neki način.
edit: u tvom slučaju mislim da se više radi o nestručnim i neupućenim osobama koje ne znaju razliku između cc i bcc nego o načinu poslovanja tih firmi.