Domeniul de aplicare
Din punct de vedere material, Regulamentul privind protecția datelor cu caracter personal se aplică oricărui tip de operațiune de prelucrare, automată sau nu, a datelor cu caracter personal. În ceea ce privește prelucrarea prin alte mijloace decât cele automatizate, GDPR devine incident cu condiția ca datele cu caracter personal să facă parte dintr-un sistem de evidență a datelor sau să fie destinate să facă parte dintr-un sistem de evidență a datelor.
Din punct de vedere teritorial, regula este că GDPR se aplică activităților unui sediu al unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii. Pe cale de excepție, domeniul de aplicare poate cuprinde mai mult decât teritoriul Uniunii Europene sau cel al Spațiului Economic European.
Articolul 3 alineatul 2 stabilește care sunt cazurile în care un operator sau o persoană împuternicită care nu este stabilită în Uniune va intra sub incidența dispozițiilor GDPR:
(a) activitatea de prelucrare constă în oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată sau
(b) activitatea de prelucrare constă în monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
