Ano, pokud při jejich činnosti dochází ke zpracování osobních údajů, což z povahy věci zpravidla dochází (nejčastěji osobní údaje zákazníků – fyzických osob, či osobní údaje zaměstnanců nebo obchodních partnerů). Je však nutné si uvědomit, že obecné nařízení klade vyšší nároky především na subjekty, které zpracovávají osobní údaje ve velkém rozsahu či zvláštní kategorie osobních údajů, resp. pokud jsou osobní údaje hlavním bodem činnosti. To jsou například banky, telekomunikační operátoři, velké nemocnice atd.

Pokud při činnosti určitého subjektu dochází k běžné práci s osobními údaji nezbytnými např. k provedení služby či prodeji výrobku, lze zpravidla konstatovat, že obecné nařízení nepřináší rozdíly oproti současnému zákonu č. 101/2000 Sb., o ochraně osobních údajů. U těchto subjektů (malý internetový obchod, živnostník – opravář, mající klientelu z řad fyzických osob), které tedy neprovádí rozsáhlé či rizikové zpracování, je nezbytné zejména dodržovat zásady zpracování osobních údajů. Nutné je především sledovat legitimní účel, pro který byly osobní údaje shromážděny (např. uzavření kupní smlouvy a s tím spojené dodání zboží či poskytnutí služby) a osobní údaje adekvátně zabezpečit.