不要求個人數據處理行為必須由業務機構自己進行。但要求這種處理行為必須發生在營業機構的活動中(通常以上兩個特征都同時滿足,但這句話中提到的條件必須始終滿足)。
如果壹個商業機構的活動與母公司的活動密不可分(例如,該商業機構是為母公司的經濟利益而存在),則有關的個人資料處理行為應受GDPR規管。
歐洲隱私法的地理範圍在GDPR不斷擴大。正是由於適用範圍的擴大,隨著GDPR的實施,許多位於歐盟之外不受現行歐洲隱私法管制的組織將不得不適用歐盟隱私法。GDPR要求這些組織及時回應GDPR的“遵守”要求。
對“所在地”概念的解釋必須寬泛而靈活。要求是通過可持續的場地開展有效真實的活動(小型活動就夠了)。法律形式(如具有法人資格的分支機構或子公司)不是決定性因素。因此,在歐盟擁有唯壹代表就足以滿足適用條件。