Europski odbor za zaštitu podataka (EDPB) je nakon postupka javnog savjetovanja objavio službenu verziju smjernica o teritorijalnom području primjene GDPR-a Guidelines 3/2018 on the territorial scope of the GDPR(Article 3)Version 2.0.
Iako je sasvim jasno da se GDPR-om ne štite prava građana Europske unije, EDPB je prepoznao potrebu da to posebno naglasi:
Dobra vijest za sve koji svojim klijentima s poslovnim nastanom izvan EU pružaju uslugu predstavnika voditelja obrade (EU Representative) je pojašnjenje da se predstavnik ne može smatrati odgovornim za obveze koje su dužni ispuniti voditelj i izvršitelj. Naravno, kao i u slučaju službenika za zaštitu osobnih podataka, predstavnik je dužan odgovorno obavljati svoje zadatke, a u protivnom može biti smijenjen, odnosno razriješen s dužnosti.
Uz navedeno, smjernice sadrže niz praktičnih primjera koji pojašnjavaju u kojim slučajevima nuđenje robe ili usluga te praćenje ponašanja osoba u EU znači i obvezu primjene GDPR-a.