החוק חל על כי מי שמחזיק במאגר מידע, ללא תלות בגודלו. החוק מבדיק בין מאגרים המנוהלים בידי יחיד ורמות אבטחה שונות, בהתאם לרגישות המידע.