Laiendatud territoriaalne kohalduvus

Nimelt, määrus on eriline oma väga laia kohaldumisala poolest. Määruse artikli 3 lõike 1 järgi kohaldatakse määrust Euroopa Liidus asuva vastutava töötleja või volitatud töötleja tegevuskoha tegevuse kontekstis toimuva isikuandmete töötlemise suhtes sõltumata sellest, kas töödeldakse Euroopa Liidus või väljaspool liitu. Seega, asjaolu, et andmete töötlemine toimub väljaspool liitu, ei välista määruse kohaldumist.

Määrus kohaldub nii Euroopa Liidu territooriumil asuvatele kui ka mujal asuvatele ettevõtetele, kes pakuvad kaupu või teenuseid Euroopa Liidu kodanikele või jälgivad Euroopa Liidu kodanikke.

Seega,

• ESITEKS kohaldub määrus sarnaselt direktiiviga ettevõtetele, kes on asutatud või kellel on tegevuskoht Euroopa Liidus;

• TEISEKS, kohaldub määrus ka näiteks välisriikides tegutsevate ettevõtjate suhtes, kes pakuvad oma kaupu või teenuseid Euroopa Liidus. Selline pakkumine võib olla tehtud nii tavameetodeid kasutades kui online-tegevuse kaudu, mis on Euroopa Liitu suunatud. Näiteks, USA’s asuva ettevõtte e-poe puhul ei piisa vaid sellest, et veebileht on liidu territooriumil kättesaadav, kuid võib piisata, kui veebileht võimaldab liitu kaupu või teenuseid tellida.

• KOLMANDAKS, kohaldub määrus mitte ainult kaupade ja teenuste pakkumise suhtes, vaid ka tegevuse suhtes, mille kaudu Euroopa Liidu kodanike jälgitakse. Jälgimiseks loetakse ka profileerimist (ehk teostatakse isiku profiilianalüüs eelkõige selleks, et teha tema kohta otsuseid või analüüsida või prognoosida tema eelistusi, käitumist ja hoiakuid).

Seega tuleb enda ärimudeli ja ärivõrgustiku andmekaitseõiguslikul hindamisel meeles pidada, et määrusest ei tule kohustusi mitte ainult Euroopa Liidu riikide ettevõtetele, vaid ka teiste riikide ettevõtetele, kes tahavad isikuandmeid töödelda kas enda või kellegi teise tarbeks. 

Sisuline kohaldumisala
Tegemist on otsekohalduva Euroopa Liidu määrusega, mis ei vaja kohaldumiseks eraldi siseriiklikku seadust, kuid on asjakohane märkida, et on mõned valdkonnad, mille osas võib siseriikliku rakendusakti kaudu muuta ja kohandada määruse sisu.

Näiteks märgib määrus, et iga liikmesriik on õigustatud otsustama rahvuslike identifitseerimisnumbrite (nt isikukood) töötlemise piirid ning samuti võib iga liikmesriik täpsustada määruse kohaldumise ulatust töösuhetes.

Seda, kas ja millised saavad olema Eesti otsused määruse rakendusaktide vajalikkuse ja ulatuse suhtes, saame teada juba pooleteise aasta pärast.