A GDPR egyik fontos újdonsága volt, hogy hatálya nemcsak az Európai Unión belül tevékenységi hellyel rendelkező adatkezelőkre, illetve adatfeldolgozókra terjed ki, hanem alkalmazni kell az EU-ban tartózkodó érintettek személyes adatainak az EU-ban tevékenységi hellyel nem rendelkező adatkezelő vagy adatfeldolgozó által végzett kezelésére, ha az adatkezelési tevékenységek:
- áruknak vagy szolgáltatásoknak az Unióban tartózkodó érintettek számára történő nyújtásához kapcsolódnak, függetlenül attól, hogy az érintettnek fizetnie kell-e azokért; vagy
- az érintettek viselkedésének megfigyeléséhez kapcsolódnak, feltéve, hogy az Unió területén belül tanúsított viselkedésükről van szó.
A GDPR 27. cikke pedig előírja, hogy az Unióban tevékenységi hellyel nem rendelkező adatkezelők vagy adatfeldolgozók képviselőt jelölnek ki, és rendezi a képviselőkkel kapcsolatos alapvető szabályokat.
A fenti rendelkezéseknek köszönhetően a GDPR egyértelműen hatást gyakorol EU-n kívüli szervezetekre is. Ennek egyik mellékhatása volt, hogy egyes Unión kívüli adatkezelők – félve a GDPR-nak való meg nem felelés kockázataitól – inkább beszüntették az EU-ba irányuló tevékenységüket.
A GDPR hatása viszont nem csak közvetlenül, az EU-ban tevékenységi hellyel nem rendelkező adatkezelőkre vonatkozó kötelezettségek előírása révén érezhető, hanem azáltal is, hogy a világ számos pontján az adatvédelmi szabályok mintájául szolgál a GDPR. Ezt indokolhatja, hogy a személyes adatok határokon átívelő áramlása miatt az egymással harmonizáló szabályrendszer megalkotása jótékony hatással lehet a GDPR-nak megfelelő rendelkezéseket alkalmazó harmadik országokba történő adattovábbításokra (akár úgy, hogy az adatok védelmének szintjét a Bizottság megfelelőnek ítéli meg, akár úgy, hogy a bizalmat erősítheti egy GDPR-szerű adatvédelmi rezsim meghonosítása).
Brazília
Brazíliában a közelmúltban fogadták el az új adatvédelmi törvényt, amely 2020-ban válik alkalmazandóvá. A brazil adatvédelmi törvény számos ponton emlékeztet a GDPR-ra: ugyanúgy extra-territoriális hatályú, a személyes adat fogalma szélesen értelmezhető, ismeri a különleges adatok fogalmát, megjelenik a jogos érdeken alapuló adatkezelés, hasonlóságot találhatunk az érintetti jogok kapcsán is, beleértve az adathordozhatósághoz való jogot is. A brazil törvény előírja az adatvédelmi incidensek kezelésének szabályait, bizonyos esetekben hatásvizsgálatot kell végezni és adatvédelmi tisztségviselő kinevezését is megköveteli. A kiszabható bírság összege is igen magas (a bevétel 2%-a, legfeljebb 50 millió real), sőt a jogsértések abbahagyásának kikényszerítése érdekében napi bírság kiszabása is lehetséges.
India
A fenti jelenség egyik legújabb példájaként említhető India, ahol a közelmúltban jelent meg az új adatvédelmi törvényre vonatkozó javaslat.
A javaslatban több olyan elem is megtalálható, amely a GDPR hatását mutatja. Az egyik ilyen elem például éppen az, hogy a javaslat is, a GDPR-hoz hasonlóan extra-territoriális hatályú. Hasonló érintetti jogok is megjelennek, mint a GDPR-ban, így az adathordozhatósághoz való jog is. Az alapértelmezett és beépített adatvédelem elvei is szerepelnek a javaslatban, amely incidenskezelési kötelezettséget is megállapít. Ismerős lehet a világpiaci forgalom 4%-át elérő bírságplafon is.
A hasonlóságok mellett természetesen megjelennek különbségek is. A gyermekek adatai védelme kapcsán a korhatár magasabb, mint a GDPR alapján (18 év). A magas kockázatú adatkezeléseket végzőkre nyilvántartásba vételre vonatkozó kötelezettséget írnának elő és ezen adatkezelőknek többletintézkedéseket kellene implementálniuk. Továbbá a kezelt személyes adatok másolatát Indiában is tárolni kell, illetve bizonyos adatkategóriák esetében az adatkezelésre kizárólag Indiában kerülhet sor.
Japán
Példaként hozható Japán is, ahol az adatvédelmi reformra 2017. májusával került sor. Az új japán adatvédelmi szabályozás is sok tekintetben figyelembe vette a GDPR rendelkezéseit. (Egy összehasonlítás erről megtalálható itt.)
Japán esete abból a szempontból is érdekes, hogy az elmúlt időszakban élénk párbeszéd folyt az EU Bizottság és Japán között, amelynek eredményeként 2018. július közepén megállapodás született a felek között arról, hogy kölcsönösen megfelelő szintű védelmet biztosítónak ismerik el egymás adatvédelmi szabályozását.
Dél-Afrika
A dél-afrikai adatvédelmi szabályozás születésekor még nem került elfogadásra a GDPR, bár tervezetként már elérhető volt, így – jobb híján – ebből tudtak meríteni a jogalkotás során. Ennek köszönhetően a dél-afrikai szabályozásban is találkozhatunk ismerős elemekkel, ugyanakkor abból adódóan, hogy menet közben a GDPR szövege is változott, eltérések is akadhatnak szép számmal. (Összehasonlítás a GDPR és a dél-afrikai adatvédelmi szabályozás között elérhető itt.) Érdekes eltérés például, hogy a személyes adatok védelmére vonatkozó szabályozás nem csak a természetes személyekre, hanem a jogi személyekre is kiterjed (mint korábban Ausztriában is).
