Die Datenschutz-Grundverordnung gilt grundsätzlich für jegliche Verarbeitung personenbezogener Daten. Einzelheiten regeln die Artikel 2 und 3 Datenschutz-Grundverordnung.
Sowohl öffentliche (Behörden, Gerichte und andere öffentliche Stellen ungeachtet ihrer Rechtsform) als auch nicht-öffentliche (natürliche und juristische Personen, Gesellschaften und andere Personenvereinigungen des Privatrechts) Stellen haben die Anforderungen der Datenschutz-Grundverordnung zu beachten, wenn sie Informationen über eine identifizierte oder identifizierbare natürliche Person verarbeiten.
Ausnahmen gelten insbesondere bei der nicht automatisierten Verarbeitung personenbezogener Daten, die nicht in einem Dateisystem gespeichert sind oder gespeichert werden sollen – beispielsweise Akten und Aktensammlungen, die nicht nach bestimmten Kriterien geordnet sind; für natürliche Personen, die personenbezogene Daten zur Ausübung ausschließlich persönlicher oder familiärer Tätigkeiten verarbeiten – beispielsweise privater Schriftverkehr, Adressbücher oder die Nutzung sozialer Netzwerke und Online-Tätigkeiten im Rahmen persönlicher oder familiärer Zwecke; für Tätigkeiten, die nicht in den Anwendungsbereich des Unionsrechts fallen – insbesondere die nationale Sicherheit betreffende Tätigkeiten; für die Datenverarbeitung zum Zwecke der Strafverfolgung und Gefahrenabwehr durch die zuständigen Behörden – hier gilt die zeitgleich mit der Datenschutz-Grundverordnung verabschiedete Richtlinie (EU) 2016/680.
Die Datenschutz-Grundverordnung findet Anwendung auf die Verarbeitung personenbezogener Daten, soweit diese im Rahmen der Tätigkeit einer Niederlassung in der Europäischen Union erfolgt oder im Zusammenhang mit dem Angebot von Waren oder Dienstleistungen in der Europäischen Union steht (sog. Marktortprinzip). Dies gilt unabhängig davon, ob die Verarbeitung in der Europäischen Union stattfindet.
Die Datenschutz-Grundverordnung gilt zudem auch dann, wenn das Verhalten betroffener Personen in der Europäischen Union beobachtet werden soll oder die Verarbeitung an einem Ort erfolgt, der aufgrund völkerrechtlicher Bestimmungen dem Recht eines Mitliedstaats der Europäischen Union unterliegt. Es spielt hierbei keine Rolle, ob die verarbeiteten Daten einen Bürger der Europäischen Union betreffen oder nicht.