GDPRは、EU加盟国やEU内で事業を展開及び運営し、EUを含む欧州経済領域(EEA)域内で取得した「お名前」や
「メールアドレス」「クレジットカード番号」などの個人データを扱う企業、EU以外の地域でも、
EU居住者に財貨やサービスを提供する企業、EU居住者のEU内での行動をモニタリングする企業など、
「個人情報の取得目的が明白になっている」企業や団体、事業者などに適用されます。
すなわち、EU加盟国に事業所を持っている企業だけでなく、
EU内の事業所を持っていなくてもEU地域で個人データを収集し処理する企業も、GDPRに遵守しなくてはいけません。
GDPRは、個人情報に対して保存などの「処理」と「移転」に関して規制することで、データ主体である、エンドユーザー 自身に、個人のデータに関する処理とこれに対して異議を唱えるなどの権利を有することになります。
従って、GDPRは、 個人データに対して行われる全ての収集、保存および保管、
そのほかの操作などの処理と移転に関して規制しています。
GDPRで定義する個人データは、識別された、または識別され得るデータ主体に関するすべての情報として、コンタクト情報
(お名前、住所、連絡先など)、オンライン情報(IPアドレス、Cookieなど)、 金融情報(クレジットカード情報、収入など)、健康に関するデータ、 遺伝データ、 生体データ、 人種や民族的出自および社会的身分、 宗教的または哲学的信念、 労働組合への加盟や組合員たる地位、 性的嗜好に関するデータなどが対象になります。