物聯網泛指由信息感測設備組成的網路。而信息感測設備則泛指在無人力輔助或介入的情況下，可與其他具備互聯網功能的物體展開直接交流的具備互聯網功能的物體。這種設備通常裝備有可使其收集和傳輸與其環境有關的信息的感應器，並且這種設備的應用依然出現在諸多行業中，比如可穿戴設備、智能家居用品、車載設備等。

信息感測設備的感應器通常會頻繁的收集與可識別個體有關的信息，這種信息通常由可受GDPR規制的個人信息構成。比如，可穿戴設備所收集並傳輸的用戶坐標、智能家居設備所收集並傳輸的用戶家庭能量消耗數據、設備使用頻率等。因此物聯網同樣需要被給予充分的GDPR合規考量。而鑒於物聯網本身的特殊性，合規工作者應當注意相關的挑戰和難點：

首先，大量物聯網信息感測設備被聯接到同一網路的這一事實本身就為惡意網路攻擊者提供了大量的切入點；

其次，相對於電子計算機或者其他由人頻繁操作的智能設備而言，對物聯網信息感測設備軟體進行實時更新（打補丁等）確實是比較困難的。

因此，相應的網路設計應當保證以數據安保為基礎要素。這類設計在開展伊始便應當以數據安保為基礎考量。而這樣的設計本身也是符合GDPR關於『data protection by design』這一合規理念的。

此外，物聯網合規工作中的「通知」和「同意」也會給合規工作帶來特別的挑戰和困難，因為通常信息感測設備的信息收集是在無人力介入的情況下自動完成的。因此，被收集個人信息的主體如何知曉其個人信息被收集便需要被給予充分的考量。WP29認為，在大多數情況下，物聯網對個人信息的『potential intrusiveness『意味著，信息主體的同意應當是數據處理的適當法律基礎。所以，在信息感測設備自動收集數據，且無人力介入的情況下，獲得該等同意成為了物聯網數據保護合規工作中的一大挑戰。

針對這一問題，處理者可能需要採用一些特別的解決方案。比如：

通過信息感測設備上的張貼物（sticker）告知信息主體其個人信息正在被收集，同時還應告知信息主體其個人信息時如何被收集的，以及其可以從何處獲得關於信息收集方面的更多信息。此外，

處理者也可以通過使用信息感測設備無線廣播的方式，使信息主體通過其攜帶型移動智能設備獲取與收集信息有關的信息。

在獲取同意方面，WP29認為，由設備製造商在設備內建立同意獲取機制是必要的。GDPR中關於DPIA以及『data protection by design『的相關規定（實為義務）支持處理者或者設備製造商設計並實施該等合規解決方案。