GDPR poskytuje ochranu všem fyzickým osobám, nevztahuje se tedy na právnické osoby. Navíc ochrana se týká jen živých fyzických osob, takže pokud subjekt údajů zemře a jsou o něm nadále zpracovávány osobní údaje, GDPR se na toto zpracování již nevztahuje a Úřad pro ochranu osobních údajů nemůže tuto oblast kontrolovat a ukládat pokuty. V České republice však existují některé právní předpisy, které budou muset být respektovány při zpracování osobních údajů i po smrti subjektu údajů (např. pravidla pro zdravotnickou dokumentaci u zemřelého pacienta, možnost podat žalobu na ochranu osobnosti mrtvé osoby podle občanského zákoníku).

GDPR navíc poskytuje zvýšenou ochranu dětem. Tato zvláštní ochrana by se měla zejména vztahovat na používání osobních údajů dětí pro účely marketingu nebo vytváření osobnostních či uživatelských profilů a shromažďování osobních údajů týkajících se dětí při využívání služeb nabízených přímo dětem. Například pokud jsou nabízeny služby na internetu přímo dítěti (profily na sociálních sítích), je zpracování osobních údajů dítěte zákonné, je-li dítě ve věku nejméně 16 let. Je-li dítě mladší 16 let, je takové zpracování zákonné pouze tehdy a do té míry, pokud byl tento souhlas vyjádřen nebo schválen osobou, která vykonává rodičovskou zodpovědnost k dítěti. Členské státy mohou právním předpisem stanovit nižší věk, ne však nižší než 13 let (pro Českou republiku byla zákonem o zpracování osobních údajů schválena hranice 15 let). Také všechny informace a sdělení, které jsou ohledně zpracování osobních údajů poskytovány dětem, musejí být podávány za použití jasných a jednoduchých jazykových prostředků, aby jim děti snadno porozuměly.