Для GDPR застосовується екстериторіальний режим дії. Це означає, що норми GDPR застосовуються до осіб, які обробляють персональні дані резидентів і громадян ЄС, незалежно від місця інкорпорації і резидентства. Тобто, якщо компанія обробляє персональні дані користувачів з ЄС, вона зобов'язана дотримуватися регламенту GDPR.
В теорії якщо компанія не збирає і обробляє такого типу дані, вона не потрапляє під дію GDPR. На практиці ж кожна компанія повинна пройти аудит щодо «попадання» під дію GDPR.