Regulamentul General de Protecție a Datelor 2016/679 se aplică prelucrării datelor cu caracter personal, efectuată total sau parțial prin mijloace automatizate, precum și prelucrării prin alte mijloace decât cele automatizate a datelor cu caracter personal care fac parte dintr-un sistem de evidență a datelor sau care sunt destinate să facă parte dintr-un sistem de evidență a datelor.

Regulamentul se aplică
–    Prelucrării datelor cu caracter personal în cadrul activităților derulate la sediul unui operator sau al unei persoane împuternicite de operator pe teritoriul Uniunii, indiferent dacă prelucrarea are loc sau nu pe teritoriul Uniunii.
–    Prelucrării datelor cu caracter personal ale unor persoane vizate care se află în Uniune de către un operator sau o persoană împuternicită de operator care nu este stabilit în Uniune, atunci când activitățile de prelucrare sunt legate de: oferirea de bunuri sau servicii unor astfel de persoane vizate în Uniune, indiferent dacă se solicită sau nu efectuarea unei plăți de către persoana vizată sau monitorizarea comportamentului lor dacă acesta se manifestă în cadrul Uniunii.
–    Prelucrării datelor cu caracter personal de către un operator care nu este stabilit în Uniune, ci într-un loc în care dreptul intern se aplică în temeiul dreptului internațional public.

Cât privește operatorii de date cu caracter personal, Capitolul IV din Regulamentul general privind protecția datelor, ce va fi pus în aplicare din data de 25 mai 2018, stabilește obligațiile generale, precum și cele specifice, inclusiv sub aspectul asigurării securității datelor cu caracter personal, efectuării evaluării de impact asupra protecției datelor și numirii unui responsabil privind protecția datelor, ce le revin entităților care au calitatea de operator de date. În acest sens, Autoritatea de Supraveghere (Autoritatea Naţională de Supraveghere a Prelucrării Datelor cu Caracter Personal) nu are atribuții legale în sensul evaluării suportului economic și informațional necesar operatorilor de a respecta cerințele Regulamentului general privind protecția datelor, fiind în sarcina fiecărei entități să implementeze măsurile tehnice și organizatorice adecvate în vederea asigurării unui nivel de securitate corespunzător, având în vedere stadiul actual al dezvoltării, costurile implementării și natura, domeniul de aplicare, contextul și scopurile prelucrării, precum și riscul cu diferite grade de probabilitate și gravitate pentru drepturile și libertățile persoanelor fizice (conform art. 32 din RGPD).