Kakšen je zemljepisni obseg GDPR? Ali velja tudi v državah, ki niso članice EU? Ali velja tudi v ZDA?
GDPR morajo upoštevati zasebna podjetja (glejte tudi odgovor 1) pri obdelavi osebnih podatkov na avtomatiziran način v EU. Zadostuje, da se obdelava izvaja v okviru dejavnosti ustanove upravljavca ali obdelovalca v EU ne glede na to ali se obdelava izvaja v EU ali ne (1. odstavek 1. člena GDPR). GDPR se uporablja pri obdelavi osebnih podatkov v podjetjih izven EU samo v 2 posebnih konfiguracijah. GDPR se uporablja tudi pri obdelavi osebnih podatkov tistih oseb, na katere se podatki nanašajo, ki se nahajajo v EU pri pri upravljavcu ali obdelovalcu, ki nima sedeža v EU, če se dejavnosti obdelave nanašajo na:
(a) ponujanje blaga ali storitev, ne glede na to ali je zanje zahtevano plačilo oseb, na katere se podatki nanašajo ali ne, za takšne osebe, na katere se podatki nanašajo v Uniji; ali
(b) a spremljanjem njihovega obnašanja, v obsegu njihovega obnašanja v Uniji (2. odstavek 3. člena GDPR). Čeprav GDPR govori o državah članicah EU, morajo države Evropskega gospodarskega prostora (EGP), ki niso države članice EU, kot pogoj zato, da so sestavni del EGP,upoštevati GDPR.