Принято 28 ноября 2017. Последняя редакция 10 апреля 2018. Руководство содержит разъяснения о значении прозрачности; об элементах прозрачности по GDPR (“кратко, прозрачно, понятно и легкодоступно”; “ясный и простой язык”; предоставление информации детям и иным уязвимым группам населения; “в текстовом виде или другими способами”; “..информация может быть предоставлена устно”, “бесплатно”); об информации, предоставляемой субъекту данных – статьи 13 и 14 (“надлежащие меры”; сроки предоставления информации; изменения информации, изложенной в статье 13 и статье 14; сроки; формат предоставления информации; многоуровневый подход в цифровой среде и многоуровневые политики приватности; многоуровневый подход в нецифровой среде; “Push” и “Pull” уведомления; другие виды “надлежащих мер”; информация о профилировании и автоматизированном принятии решений; другие проблемы — риски, правила, гарантии); об информации, относящейся к дальнейшей обработке; об инструментах визуализации (пиктограммы; механизмы сертификации, печати и маркировочные знаки защиты данных); об осуществлении прав субъектов данных; об исключениях из обязательства предоставлять информацию (исключения по статье 13; исключения по статье 14); об ограничениях прав субъекта данных; о прозрачности и утечке данных. Руководство содержит Приложение об информации, которая должна быть предоставлена субъекту данных в соответствии со статьей 13 или статьей 14.

Принято 12 ноября 2019.
Руководство содержит разъяснения о применении критерия организационной единицы — статья 3(1) (организационная единица в Союзе; обработка персональных данных осуществляется «в контексте деятельности» организационной единицы; применение GDPR к организационной единице контролёра или процессора в Союзе, независимо от того, происходит ли обработка в Союзе или нет; применение критерия организационной единицы к контроллеру и процессору); о применении критерия таргетинга – статья 3(2) (субъекты данных в Союзе; предложение товаров или услуг независимо от того, требуется ли оплата от субъекта данных субъектам данных в Союзе; мониторинг поведения субъектов данных; процессоры, не имеющие организационной единицы в Союзе; взаимодействие с другими положениями GDPR и другими законодательными актами); об обработке в месте, в котором законодательство государства-члена заявляется в силу международного публичного права; о представителе контролера или процессора, не имеющего организационной единицы в союзе (назначение представителя; освобождение от обязательства по назначению; создание в одном из государств-членов, в котором находятся субъекты данных, чьи персональные данные обрабатываются; обязанности и ответственность представителя).

Принято 4 мая 2020. Руководство содержит разъяснения о согласии в статье 4(11) GDPR; информацию об элементах действительного согласия (свободное / добровольное согласие; дисбаланс власти; обусловленность; гранулированность; отрицательный эффект; конкретность; информированность; минимальные требования к содержанию для получения согласия быть «информированным»; как предоставлять информацию; однозначность); о получении отчетливого согласия; о дополнительных условиях получения действительного согласия (демонстрация согласия; отзыв согласия); о взаимосвязи между согласием и другими правовыми основаниями в статье 6 GDPR; о специфичных областях в GDPR (услуги информационного общества; предлагается непосредственно ребенку; возраст; согласие детей и родительские права; научное исследование; права субъекта данных); о согласии, полученном в соответствии с Директивой 95/46/ЕС.

Принято 13 декабря 2016. Последняя редакция 5 апреля 2017.
Руководство содержит разъяснения о назначении DPO (обязательное назначение; «государственный орган»; «основная деятельность»; «крупный масштаб»; «регулярный и систематический мониторинг»; специальные категории данных и данные о судимостях и правонарушениях; DPO процессора; назначение единого DPO для нескольких организаций; доступность и местонахождение DPO; опыт и навыки DPO; публикация и передача контактных данных DPO); о роли DPO (участие DPO во всех вопросах, касающихся защиты персональных данных; необходимые ресурсы; указания и «выполнение обязанностей и задач в независимом порядке»; увольнение или наказание за выполнение DPO своих задач; конфликт интересов); и о задачах DPO (контроль за соблюдением GDPR; роль DPO в оценке воздействия на защиту персональных данных; сотрудничество с надзорным органом и деятельность в качестве контактного лица; риск-ориентированный подход; роль DPO в учете деятельности по обработке). Руководство также содержит приложение.

Принято 3 октября 2017.
Руководство содержит разъяснения о принципах (нарушение GDPR должно влечь наложение «эквивалентных (равнозначных) санкций»; «эффективные, соразмерные административные штрафы, имеющие сдерживающий эффект»; оценка «в каждом отдельном случае»; унифицированный подход к административным штрафам); и критериях оценки по статье 83(2) (характер, степень тяжести и продолжительность правонарушения; умышленный или небрежный характер нарушения; действия, предпринятые контроллером или процессором уменьшения ущерба, понесенного субъектами данных; любые соответствующие предыдущие нарушения, совершенные контролером или процессором; степень сотрудничества с надзорным органом для устранения нарушения и смягчения возможных неблагоприятных последствий нарушения; уведомление о нарушении; соблюдение ранее наложенных мер по статье 58(2); соблюдение утвержденных кодексов поведения в соответствии со статьей 40 или утвержденных механизмов сертификации в соответствии со статьей 42; любые смягчающие или отягчающие обстоятельства ).

Принято 20 октября 2020. Руководство содержит разъяснения о сфере действия; об анализе статьи 25(1) и (2) спроектированной защите персональных данных и защите по умолчанию (обязанность контролера по внедрению соответствующих технических и организационных мер и необходимых мер безопасности в обработку; элементы, которые должны быть приняты во внимание; временной аспект; объем обязательства по минимизации данных); о внедрении принципов защиты персональных данных в обработку персональных данных с использованием спроектированной защиты персональных данных и по умолчанию (прозрачность; законность; справедливость; ограничение целью; минимизация данных; точность; ограничение хранения; целостность и конфиденциальность; подотчетность); о сертификации; о приведении в исполнение статьи 25 и последствиях. Руководство также содержит рекомендации.

Принято 8 июня 2017. Заключение содержит разъяснения рисках; а также возможных сценариях (обработка данных в процессе набора персонала; обработки, связанные с проверкой при приеме на работу; обработки, связанные с мониторингом использования ИКТ на рабочем месте; операции по обработке, возникающие в результате мониторинга использования ИКТ за пределами рабочего места; операции по обработке, относящиеся ко времени и посещаемости; операции по обработке с использованием видеонаблюдения; операции по обработке, связанные с транспортными средствами, используемыми сотрудниками; операции по обработке, связанные с раскрытием данных о сотрудниках третьим лицам; операции по обработке, связанные с международной передачей данных о персонале и других сотрудниках). Заключение также содержит выводы и рекомендации.