Для GDPR применяется экстерриториальный режим действия. Это значит, что нормы GDPR применяются к лицам, обрабатывающим персональные данные резидентов и граждан ЕС, независимо от места инкорпорации и резидентства. То есть, если компания обрабатывает персональные данные пользователей из ЕС, она обязана соблюдать регламент GDPR. Теоретически, если компания не собирает и не обрабатывает такого рода данные, она не попадает под действие GDPR. Практически, каждая компания должна пройти аудит на предмет «попадания» под действие GDPR.