第一，GDPR适用于在欧盟境内设有业务机构的组织，只要这些组织在业务机构在欧盟境内的活动中处理个人数据（而不论此类处理行为是否实际发生在欧盟境内）。对“场地”这一概念的解释必须宽泛、灵活。要求是通过可持续场地进行有效、真实的活动（小型活动即可）。法律形式（例如分公司或具有法人资格的子公司）并不是决定性因素。因此，在欧盟境内设有唯一代表即足以符合适用条件。

这里并不要求个人数据处理行为必须由该业务机构自身进行。但是要求此类处理行为必须是在业务机构的活动中发生的（通常是同时具备上述两个特点，但必须始终满足此句所述条件）。如果业务机构的活动与母公司的活动密不可分（例如，业务机构存在的目的就是为了母公司的经济效益），则相关的个人数据处理行为就应当受到GDPR的规制。因此，如果业务机构（例如分公司或联络代理）的活动与位于欧盟境外的组织进行的个人数据处理密不可分，则应当适用GDPR。

第二，如某一组织虽不在欧盟境内设立业务机构，但却处理欧盟境内个人的个人数据，并且此类处理行为与向欧盟境内个人提供商品或服务相关，无论该等商品或服务是否收费，则也应当适用GDPR。如果非欧盟组织机构意图向欧盟境内个人提供商品或服务，则其将被视为在欧盟境内提供商品或服务。仅仅是能从欧盟境内访问网站或其联系方式或使用该组织设立国家常用的语言原则上不足以被视为有上述意图。使用一个或多个成员国的语言和/或货币、来自欧盟客户（例如在网站上）的推荐、使用搜索引擎中针对一个或多个成员国的广告和/或使用顶级域名（例如.eu或.nl）可能导致商品或服务被视为在欧盟境内提供。

第三，GDPR适用于非欧盟组织处理欧盟境内个人的个人数据，只要此类处理行为涉及对这些个人的行为进行监控，且该处理行为发生在欧盟。如果（尤其是）为了作出与这些个人有关的决定或者为了分析或预测其个人喜好、行为和态度，而在互联网上追踪这些个人，且在此过程中使用了处理技术来形成画像等，则构成监控行为。

原则上，使用所谓的“追踪cookies”和监控使用的应用程序的网站在GDPR的适用范围内（只要该等网站处理个人数据）。欧洲法院最近裁定，在某些情况下，动态IP地址也可视为个人数据。因此，存储动态IP地址日志数据的网站的所有者也可能受GDPR的规制。