Velja za vse organizacije, ki imajo v upravljanju, hranijo, obdelujejo, prenašajo ali kakorkoli drugače operirajo (obdelujejo) z osebnimi podatki fizičnih oseb, ki so državljani držav Evropske unije.

Sedež organizacije tako ni pomemben, kar pomeni, da GDPR velja tudi za ameriška podjetja, če obdelujejo podatke Evropejcev.

Organizacija v tem kontekstu pomeni tako podjetja, zavode in državne ustanove, kot tudi društva, sindikate, politične stranke in ostale organizacijske oblike. Edini, ki so iz tega izvzeti so (druge) fizične osebe.

GDPR velja tudi za vse vaše pogodbene (pod)izvajalce (obdelovalce) ne glede na to, kje se nahajajo (v EU ali izven). Za njihovo skladnost z GDPR pa ste odgovorni (tudi) vi.

Ni namreč mogoče prelagati odgovornosti na pogodbene partnerje, tako da je zelo pomembno, da za vse partnerje preverite, ali so skladni z GDPR in da z njimi sklenete ustrezno pogodbo.