ＥＵデータ保護規則は、ＥＵデータ保護指令と比べて適用される企業の範囲が広がっています。
日本企業の備えとしては、まず自社がＥＵデータ保護規則が適用される企業であるかどうかをチェックする必要があります。３つの項目でチェックしてみましょう。

３つの適用範囲に関するチェック項目

（１）ＥＵの１つ以上の構成国に管理者または処理者となる拠点を設置しているか。
（２）国際公法によって、構成国の国内法が拠点に適用されるか。
（３）ＥＵ内のデータ主体に対し商品やサービスを提供しているか、またはＥＵ内のデータ主体の行動を監視しているか。

（１）と（２）は、ＥＵデータ保護指令と変わりません。つまりＥＵ内かまたは国際公法によって構成国の国内法が適用される地域内のいずれかに、日本企業が管理者または処理者としての拠点を有している場合には、ＥＵデータ保護規則が適用され、規則を遵守する義務が生じます。
拠点とはestablishmentを和訳したものですが、安定した設備を通じた効果的かつ現実の活動の実施を意味し、安定した設備が支店か法人格を有する子会社かという法的な形式は問われていません（前文２２）。
また、実際のデータ処理がＥＵ内で行われているかどうかは関係がありません。

要注意：EU内のデータ主体に対する商品やサービスの提供

注意を要するのは（３）です。ＥＵ指令から大きく変更があった部分です。
（１）にも（２）にも該当しない場合、たとえば物理的には日本にある会社が、ＥＵ内のデータ主体に商品やサービスを提供する場合、またはＥＵ内のデータ主体の行動をモニタリングしている場合には、ＥＵデータ保護規則が適用されることになります。具体例としては、インターネット上で商品やサービスを提供している例を思い浮かべればよいかと思います。

なお、商品やサービスの提供は、支払いの有無は関係ありません（３条２項、前文２３）。したがって、無料のゲームをインターネット上で提供する場合であっても商品やサービスの提供に含まれます。

ＥＵ内のデータ主体に商品やサービスを提供しているかどうかは、ＥＵ構成国内のデータ主体に向けて商品やサービスを提供していることが明らかであることが必要です。ＥＵ内のデータ主体が、商品やサービスを提供しているウェブサイトにアクセスすることができるというだけでは足りず、商品やサービスの注文ができるように構成国の言語や通貨を使用したり、構成国内の顧客やユーザーに言及していることなどの要素を考慮する必要があります（前文２３）。
ＥＵ内のデータ主体が、日本企業の提供する商品やサービスについてウェブサイトにアクセスしただけでは、ＥＵデータ保護規則が適用されるわけではないことに注意してください。

一方、データ主体の行動の監視であるかどうかは、データ主体について決定したり、データ主体の好み、行動、態度を分析・予測のために自然人をプロファイリングする個人データの処理技術の潜在的な使用を含めて、インターネット上で自然人を追跡しているかどうかを考慮する必要があります（前文２４）。

（３）に該当する場合、（１）と（２）に該当する場合と同様に①ＥＵデータ保護規則の遵守が生じ、さらに、②上記の活動を行っている構成国中の１国内で代理人を指定する義務が生じます。

フローチャートによるチェック

フローチャートを作成してみましたので、ＥＵデータ保護規則の適用の有無をチェックしてみてください。

この 作品 は クリエイティブ・コモンズ 表示 – 非営利 – 改変禁止 4.0 国際 ライセンスの下に提供されています。