Территориальная сфера применения непосредственно закреплена в ст.3 GDPR и ограничивается переделами ЕС/ЕАСТ, однако действие GDPR распространяется на контролёров (controller) и обработчиков (processor), находящихся за пределами ЕС/ЕАСТ. В целях обеспечения того, чтобы физические лица не были лишены защиты, на которую они имеют право в соответствии с GDPR, обработка персональных данных субъектов в ЕС/ЕАСТ контролёром или обработчиком, которые не учреждены в ЕС/ЕАСТ, подпадает под действие GDPR в случаях, когда:
(1) обработка персональных данных субъектов в ЕС/ЕАСТ связана с предложением товаров или услуг субъектам, находящимся на территории ЕС/ЕАСТ, независимо от того, связано это с их с оплатой или нет. При этом GDPR устанавливает, что признаками, которые с очевидностью свидетельствуют о намерении предлагать товары или услуги субъектам в ЕС/ЕАСТ, являются:
использование языка или валюты, обычно используемой в одном или нескольких государствах-членах ЕС/ЕАСТ, с возможностью заказывать товары и услуги на этом языке;
упоминание потребителей или пользователей, которые находятся в Евросоюзе (п.(23) Преамбулы GDPR).
(2) обработка персональных данных субъектов, находящихся в ЕС/ЕАСТ, связана с мониторингом действий/поведения субъектов, постольку, поскольку их действия совершаются на территории ЕС/ЕАСТ. Для того, чтобы определить, подпадает ли под действие GDPR деятельность по обработке данных для целей мониторинга действий субъекта, устанавливается факт того, осуществляют ли физические лица деятельность в интернете, в том числе потенциальная возможность последовательного использования технологии обработки персональных данных и т.д. (п.(24) Преамбулы GDPR);
(3) обработка персональных данных субъектов, находящихся в ЕС/ЕАСТ, осуществляется по поручению европейского оператора и (или) обработчика в случае заключения между ними и российской организацией соглашения о поручении обработки персональных данных (Controller-To-Processor Agreement, ст.28 GDPR).