August 9, 2025
3 min read
Phân tích về phạm vi lãnh thổ của Quy định chung về bảo vệ dữ liệu (GDPR) cho thấy khả năng áp dụng của quy định này được xác định chủ yếu bởi Điều 3 (Quy định (EU) 2016/679). Quy định này không chỉ áp dụng cho các tổ chức được thành lập trong Liên minh Châu Âu (EU) mà còn cho cả những tổ chức bên ngoài EU trong những trường hợp cụ thể. Các kết quả có thể được tóm tắt như sau:
Các tổ chức được thành lập tại EU:
Bất kỳ tổ chức nào có sự hiện diện thực tế tại EU, bất kể việc xử lý dữ liệu diễn ra ở đâu, đều thuộc phạm vi điều chỉnh của GDPR nếu tổ chức đó xử lý dữ liệu cá nhân của các cá nhân cư trú tại EU. Tiêu chí "thành lập" được diễn giải một cách rộng rãi, bao gồm các công ty con, chi nhánh và thậm chí cả người đại diện, nếu có một thỏa thuận ổn định.
Các tổ chức không được thành lập tại EU nhưng nhắm đến thị trường EU:
GDPR áp dụng khi các tổ chức ngoài EU cung cấp hàng hóa hoặc dịch vụ cho các cá nhân tại EU. Ý định nhắm đến cư dân EU là yếu tố then chốt, chứ không chỉ đơn thuần là khả năng truy cập một trang web hoặc dịch vụ trực tuyến. Các chỉ số bao gồm việc cung cấp tùy chọn ngôn ngữ/tiền tệ địa phương hoặc quảng cáo tích cực đến cư dân EU.
Giám sát hành vi:
GDPR áp dụng cho các tổ chức bên ngoài EU nếu họ giám sát hành vi của các cá nhân trong EU. Các ví dụ bao gồm cookie theo dõi, lập hồ sơ trực tuyến, dịch vụ định vị địa lý và quảng cáo hành vi nhắm mục tiêu cụ thể đến cư dân EU.
Phạm vi ngoài lãnh thổ:
Tính ngoài lãnh thổ của GDPR phân biệt nó với các chế độ bảo vệ dữ liệu trước đây. Phạm vi rộng của nó nhằm đảm bảo rằng dữ liệu của cư dân EU’ được bảo vệ bất kể việc xử lý diễn ra ở đâu.
Các quan sát chính:
Tóm lại, GDPR áp dụng cho một loạt các tổ chức—cả trong và ngoài Châu Âu—dựa trên sự tương tác của họ với dữ liệu cá nhân của các cá nhân trong EU. Thiết kế của quy định này nhấn mạnh phạm vi bao quát toàn diện để giải quyết sự phức tạp của các luồng dữ liệu toàn cầu.
