RODO dotyczy przede wszystkim „danych osobowych” konsumenta, ale przedsiębiorcy posiadający klientów z UE lub prowadzący własną działalność gospodarczą na terenie UE powinni również wziąć pod uwagę inne ważne czynniki. Dane osobowe objęte RODO to wszelkie informacje dotyczące lub mogące służyć do identyfikacji osoby fizycznej, takie jak numer PESEL, dane dotyczące zdrowia, numer telefonu, data urodzenia, adres e-mail, lokalizacja i adres IP.
RODO wymaga stosowania bardziej rygorystycznych zasad gromadzenia danych konsumentów i ustalania zasad ich wykorzystania. Firma musi zbierać dane za pomocą środków „opt-in”, które umożliwiają konsumentowi wybór, czy chce podać swoje informacje czy nie, a dane muszą być gromadzone i przechowywane tylko tak długo, jak jest to konieczne. Wiele firm decyduje się na zamaskowanie swoich danych za pomocą procesów takich jak pseudonimizacja lub szyfrowanie danych.
RODO uwzględnia również pewne rzadkie punkty danych, takie jak przynależność do związków zawodowych, dane genetyczne czy pochodzenie etniczne, które są również uważane za prywatne i subiektywne. Do zespołu ds. zgodności w firmie należy określenie kontekstu, w jakim zbierane są dane.