Evropská komise vydala 24. 7. dokument s názvem "Sdělení Evropskému parlamentu a Radě" s názvem "Pravidla ochrany údajů jako nástroj umožňující důvěru v EU a nad její rámec – zjištění stavu", který mapuje současný stav ochrany údajů v EU a zaměřuje se na dopad GDPR. Komise konstatuje, že všechny členské státy EU aktualizovaly své vnitrostátní právní předpisy o ochraně údajů s výjimkou tří (Řecka, Portugalska a Slovinska). Dokument také uvádí, že některé členské státy zavedly do své národní legislativy požadavky nad rámec nařízení, jako například Německo, které ukládá povinnost jmenovat DPO ve společnostech s 20 a více zaměstnanci trvale zapojenými do automatizovaného zpracování osobních údajů. Pokud jde o prosazování GDPR, EK zjistila, že národní regulátoři se zaměřili spíše na dialog než na sankce. GDPR zvýšilo povědomí o osobních údajích u jednotlivců, kteří uplatňují svá práva, častěji žádají o přístup k osobním údajům (především v oblasti bankovnictví a telekomunikací), nesouhlasí se zasíláním obchodních sdělení.