Le règlement (UE) 2018/1725 établit les obligations en matière de protection des données pour les institutions, organes et agences de l'UE lorsqu'ils traitent des données à caractère personnel et élaborent de nouvelles politiques. Ce règlement définit également les obligations du CEPD, y compris son rôle en tant qu’autorité indépendante de surveillance des institutions et organes de l’UE lorsqu’ils traitent des données à caractère personnel et pour formuler des conseils sur les politiques et la législation qui ont une incidence sur la vie privée et coopérer avec des autorités similaires afin d’assurer une protection des données cohérente.
Avis du 2 mai 2006 sur la notification d'un contrôle préalable à propos du dossier "Sélection d'agents temporaires en vue de leur recrutement par les institutions européennes et le cas échéant, par les organismes, les organes ou les agences communautaires" (Dossier 2005-365)
Avis du 28 avril 2006 sur la notification d'un contrôle préalable à propos des dossiers médicaux (Dossier 2005-168)
Avis du 21 avril 2006 sur la notification d'un contrôle préalable à propos du dossier "Traitement des absences pour raison médicale et archivage des certificats médicaux" (Dossier 2005-123)
Réponse à une notification d'un contrôle préalable (Dossier 2006-163)
Alors que la première année a été consacrée à la mise en place du CEPD, l'année suivante a été celle de la consolidation. Le bureau s'est quelque peu agrandi et a pu bénéficier de la mise en place d'un service de presse. Parallèlement, tandis que le CEPD commençait à être mieux connu au sein des institutions et organes communautaires, les travaux liés à ses activités principales ont pris de l'ampleur. Le nombre de contrôles préalables effectués a ainsi atteint le chiffre de 34 et un document sur le rôle joué par les DPD a été publié. Six avis législatifs ont été présentés, la plupart ayant trait à l'espace de "Liberté, sécurité et justice".