在欧盟地区没有任何实体存在的公司也可能受 GDPR 约束。该条例不仅适用于在欧盟地区设立机构的公司，而且也适用于位于欧盟以外，但会向欧盟数据主体提供商品和服务或监控欧盟数据主体行为，并因此处理欧盟数据主体的个人数据的公司。GDPR 广义地将“个人数据”定义为与已识别或可识别的个人相关的任何信息，例如姓名、联系信息、位置数据以及在线和移动标识（如 Cookie ID、IP 地址和设备标识）。

根据 GDPR，针对如何处理欧盟数据主体的个人数据，公司需要向其提供更高的可见性和控制力。对于公司在处理个人数据之前必须向数据主体提供的通知类型，GDPR 做出了明确要求。它还就如何处理个人数据而赋予了数据主体广泛权利，包括被遗忘权、数据访问和更正权、数据可携权、限制特定处理权、反对自动化决策权、撤销同意处理权，以及反对自动化决策流程（包括数据画像）权。公司需要审查并可能修改其数据做法、程序和政策，以确保其能够履行这些义务。

受 GDPR 约束的公司需要使隐私制度化。默认隐私保护要求公司限制对个人数据的收集、处理和存储。设计隐私保护要求公司在确定处理数据的方式和处理数据时实施适当的技术和组织措施。

例如，尽可能鼓励公司采用假名化的个人数据处理方法，使个人数据不再明确反映某特定数据主体。此外，GDPR 概述了有关数据控制者和数据处理者的数据处理安全性标准。如果一种处理方式使用了新技术，或者最终可能对数据主体带来高风险，包括对特殊类别的数据进行剖析或大规模处理，则要求数据控制者对隐私影响进行评估。公司必须详细记录该评估，如果评估显示“高风险”，则需要事先咨询监管机构。

公司确保和证明其遵守 GDPR 的方式将受到审查。GDPR 要求公司对其数据处理活动及合规工作进行清楚准确的记录。公司必须记录其组织内部的数据流转情况，并在审计时提供详细信息。公司可能需要指派一位数据保护官来监控合规性及提供建议，并确定是否需要进行数据保护影响评估。

此外，GDPR 还规定数据控制人员在选择服务提供商代表他们处理个人数据时，需要尽高度谨慎义务。数据处理合同必须得到执行，并且其中必须囊括一系列具体信息和义务。服务提供商也须承担类似义务，以将这些合同要求传递给任何从属处理人员。

GDPR 引入了一项新的安全泄露通知要求。如果出现数据泄露，公司必须及时向监管机构提交详细通知，如果泄露事件“可能对个人的权利和自由造成较高风险”，则还必须及时向受影响的数据主体发出及时和详细的通知。

不遵守 GDPR 可能导致巨大的潜在责任，包括监管机构施加的严厉处罚，处罚范围可能延伸至公司供应商和服务提供商。具体处罚因违规类型而异，但罚金最高可达 两千万欧元或公司年度全球营收的 4%。此外，GDPR 还赋予了个人在受到公司违规行为伤害时提起诉讼的权利。