Doslej so bile organizacije, ki jih GDPR zavezuje, v precejšnji negotovosti, kako GDPR uporabljati izven EU. Medtem ko smernice prinašajo nekaj pojasnil glede tega vprašanja, vprašanja za upravljavce in obdelovalce, ki niso iz EU, ostajajo nekako nenaslovljena. Pomembno je, da so te smernice le osnutek in so na voljo za posvetovanje do 18. januarja 2019, kar bo organizacijam omogočilo, da predložijo pripombe in sprožijo dodatna vprašanja, da bi dodatno pridobili pojasnila EDPB o teh pomembnih vprašanjih.
V nadaljevanju predstavljamo nekaj ključnih poudarkov osnutka smernic.
Smernice za upravljavce in obdelovalce, ki se nahajajo v EU, ponavljajo, da se GDPR uporablja za obdelavo osebnih podatkov v tistih podjetjih EU, ki se nanašajo na vse posameznike, na katere se podatki nanašajo, ne glede na njihovo lokacijo ali državljanstvo. Na primer, za obdelavo osebnih podatkov s strani francoskega upravljavca, ki se nanaša na stranke v ZDA, velja GDPR. V praksi to pomeni, da se bo GDPR v celoti uporabil v zvezi s to obdelavo, tudi v zvezi s pravicami posameznikov, na katere se nanašajo podatki, ki so na voljo v okviru GDPR, kar bi v tem hipotetičnem primeru prenesli na upravljavčeve stranke v ZDA.
Upravljavec, ki ni v EU in ki ni zavezanec po GDPR, ne bo
