A: GDPRでは、「地理的」な適用範囲と「物質的」な適用範囲というふたつの観点から適用範囲を定めています。
地理的な適用範囲としては、以下のものがあります。
１．パーソナル・データの取扱いがEUに拠点を持つコントローラー(管理者)またはプロセッサー(取扱者)によって行われる場合
２．EU 在住のデータ主体に対する商品またはサービスの提供に関する取扱い、およびEU 域内で行われるデータ主体の行動の監視に関する取扱い(コントローラー(管理者)やプロセッサー(取扱者)の拠点がEU内にあるかどうかを問わない)
３．加盟国の国内法が適用される場所にある、EUに拠点を持たないコントローラー(管理者)によるパーソナル・データの取扱い

物質的な適用範囲としては、以下のものがあります。
１．パーソナル・データを処理する際、一部または全部完全に自動処理する場合はGDPRの適用範囲となる。（自動処理と「自動的な意思決定」は異なります）
　
自動処理されない場合であってもファイリング・システムの一部を形成するようなパーソナル・データは適用範囲となります
(GDPRの適用範囲は Article 2とArticle 3に定められています。)
短期出張や短期旅行で EEA 域内に所在する日本人の個人データや、日本企業から EEA域内に出向した従業員の情報（元は日本から EEA域内に移転した情報）を取扱う場合は、GDPRの適用範囲となるため、注意が必要です。