Dotknutá osoba je Nariadením GDPR definovaná veľmi podobne ako zákonom 122/2013. Je to – zjednodušene povedané – fyzická osoba, ktorej osobné údaje sa spracúvajú.

Napriek tejto podobnosti sa účinnosťou GDPR podstatne rozširuje okruh dotknutých osôb v procesoch spracúvania osobných údajov – rozširuje sa o fyzické osoby, ktoré sú podnikateľmi, či už sú to živnostníci alebo fyzické osoby, ktoré podnikajú na základe osobitných predpisov (advokáti, notári, lekári, umelci a podobne).

Fyzické osoby, ktoré podnikajú a ktoré boli v slovenskej legislatíve vyňaté z pôsobnosti zákona o ochrane osobných údajov, nie sú v Nariadení GDPR ani v jeho záväzných výkladoch nijak odlíšené od fyzických osôb - spotrebiteľov.

V praxi to znamená, že v procesoch spracúvania údajov obchodných partnerov môžu byť prevádzkovatelia (napríklad v oblasti veľkoobchodu) prinútení prijať nové opatrenia, keďže doteraz ich obchodná agenda nemusela súvisieť so spracúvaním osobných údajov.
Budú musieť prinajmenšom preveriť, či sa aj v popísanej situácii uplatňujú konkrétne jednotlivé práva dotknutých osôb.