Nimelt on määrus eriline oma väga laia kohaldumisala poolest. Määruse artikli 3 lõike 1 järgi kohaldatakse määrust Euroopa Liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse Euroopa Liidus või väljaspool liitu.
Seega, asjaolu, et andmete töötlemine toimub väljaspool liitu, ei välista määruse kohaldumist. Määrus kohaldub nii Euroopa Liidu territooriumil asuvatele kui ka mujal asuvatele ettevõtetele, kes pakuvad kaupu või teenuseid Euroopa Liidu kodanikele või jälgivad Euroopa Liidu kodanikke. Seega kohaldub määrus ka näiteks USA-s tegutsevate ettevõtjate suhtes, kes pakuvad oma kaupu või teenuseid Euroopa Liidus.
Muu hulgas tähendab see, et määrus kohaldub ka online-tegevusele, mis on Euroopa Liitu suunatud. Näiteks, kui isik teeb USA-s veebisaidi (mis on kättesaadav ka Euroopa Liidu riikides), võib juba ainuüksi see olla piisav asjaolu selleks, et omada määrusega puutumust. Sellisel juhul ei tule määrusest kohustusi mitte ainult Euroopa Liidu riikide ettevõtetele, vaid ka teiste riikide ettevõtetele, kes tahavad isikuandmeid töödelda.
Sisulise kohaldamisala nüansid
Määrust kohaldatakse nii isikuandmete täielikult automatiseeritud, osaliselt automatiseeritud kui ka automatiseerimata töötlemise suhtes, kui kõnealused isikuandmed kuuluvad andmete kogumisse või kui need kavatsetakse andmete kogumisse kanda.
„Andmete kogum“ tähendab isikuandmete mis tahes korrastatud kogumit, millest võib leida andmeid teatavate kriteeriumide põhjal, näiteks infopank veebis.
