Onder andere online identifiers zoals IP-adressen kwalificeren zich nu ook als persoonsgegevens.
Andere gegevens; zoals economische, culturele of geestelijke gezondheidsinformatie, worden ook beschouwd als persoonlijk identificeerbare informatie.
Voor gepseudonimiseerde persoonsgegevens kunnen ook GDPR-regels gelden, afhankelijk van hoe gemakkelijk of moeilijk het is om te bepalen welke gegevens het zijn, of van wie deze zijn.
Alles wat in het kader van de Wet Gegevensbescherming van 1992 als persoonsgegeven geldt, valt ook onder de GDPR.