Reglerne i GDPR omfatter alle former for personoplysninger - dvs. alt, der kan henføres til en fysisk person. Men kravene til beskyttelsen af oplysningerne afhænger bl.a. af oplysningerne karakter.

Oplysninger om seksuelle forhold er - på linje med bl.a. oplysninger om religion, politisk overbevisning og helbred - i den kategori, man kalder følsomme oplysninger. Der er blandt andet følsomme, fordi det kan have store konsekvenser for den enkelte, hvis oplysningerne kommer i de forkerte hænder, bliver gjort offentligt kendte eller bliver brugt usagligt og i diskriminerende afgørelser eller begrænsninger.

Derfor er det faktisk udgangspunktet i GDPR, at der er et forbud mod at indsamle, opbevare eller videregive oplysninger om følsomme personoplysninger. Hvis en virksomhed eller myndighed alligevel finder det nødvendigt at behandle oplysninger om fx en persons seksuelle forhold, kræver det, at man opfylder kravene til en af undtagelserne fra forbuddet.

Derudover skal man - som ved behandling af alle andre former for personoplysninger - have et retligt grundlag for at behandle oplysningerne, ligesom man skal leve op til en række grundlæggende principper, der afspejler rettighederne i EU's charter for øvrige menneskerettigheder. Endelig har borgerne en række rettigheder i GDPR, som man skal være parat til at efterleve - herunder retten til sletning, indsigt, begrænsning m.m.