此次GDPR規範的重點主要是擴大了適用的範圍,除了在歐盟境內設立據點的企業外,還包括對歐盟境內人民提供產品、服務或監測歐盟境內人民網路行為的境外企業。其次,在個資跨境傳輸的部分,由於歐盟是採「原則禁止、例外允許」模式,因此只有在符合例外之情形下,個資才能進行跨境傳輸,而例外獲得許可的情形包括由企業自主採行符合規範的適當保護措施,例如企業自行擬定具約束性企業規則,並報請歐盟個資主管機關許可、取得特定認證;或取得個資當事人明確同意等方式。此外,本次GDPR亦規定對第三國個資保護水平是否達到GDPR標準的適足性認定制度,取得此一認定資格的國家,即可自由與歐盟間進行個資跨境傳輸。