Nařízení GDPR se vztahuje na všechny subjekty zpracovávající osobní údaje občanů EU. Části GDPR nařízení se nevztahují na organizace s méně než 250 zaměstnanci v případě, že hlavní činností není zpracování citlivých údajů či velký rozsah zpracování.
Zákonem chráněné osobní údaje jsou libovolné neveřejné údaje, které lze přiřadit konkrétní osobě prostřednictvím:
- jména, bydliště, r.č. či data narození
- čísla dokladů: OP, pas, ŘP
- elektronických údajů (IP adresa, cookie, lokalizační údaje)
Nařízení se vztahuje též na automatizované zpracování osobních údajů obsažených v evidenci nebo těch, co mají být do evidence zařazeny. Zákon definuje skupinu zvláště citlivých osobních údajů. Směrnice GDPR klade zvláštní požadavky na vytváření profilů občanů EU, které umožní jejich ruční či automatické hodnocení (scoring).