Yleisen tietosuoja-asetuksen voimaantulon jälkeen oletettiin että maailmanlaajuiset suuryhtiöt saisivat tietosuoja-asetukseen liittyvät sanktiot ensimmäisinä. Ensimmäinen täytäntöönpanoa koskeva ilmoitus koski AggregateIQ Data Services (AIQ), joka on Kanadalainen poliittiseen konsultointiin ja data analytiikkaan erikoistunut yritys, joilla on vain 20 työntekijää. Yritys auttoi kehittämään Cambridge Analytican vuoden 2016 Yhdysvaltain presidentin vaaleissa käyttämää algoritmia. Algoritmi oli suunniteltu Facebook käyttäjien kohdistamiseen.
AIQ:ta koskeva tutkimus aloitettiin jo ennen Yleisen tietosuoja-asetuksen voimaantuloa. Kysymys oli siitä onko yritys rikkonut Kanadan ja Brittiläisen Kolumbian yksityisyyttä koskevia lakeja. Tuolloin AIQ kieltäytyi vastaamasta ICO:n tiedusteluihin väittämällä, että Britannian viranomaisella ei ollut toimivaltaa Kanadalaista yritystä vastaan. Yleinen tietosuoja-asetus vaikuttaa kuitenkin tietojen hallintaan ja tietojen käsittelyyn maailmanlaajuisesti. Tarkoittaen, että jos yritys kerää tai käsittelee henkilötietoja Euroopan sisällä (EEA), on yritysten tällöin noudatettava GDPR:n asettamia vaatimuksia. Näin ollen ICO:lla oli perusteet tutkia myös Kanadalaista yritystä.
TIP: Vaikka yrityksesi olisi rekisteröity Euroopan ulkopuolelle, Yleisen tietosuoja-asetuksen vaatimukset voivat silti koskea yritystäsi. Yritykset, jotka toimivat Euroopan Unionin sisämarkkinoilla ja käsittelevät EU kansalaisten henkilötietoja (keräävät, myyvät ja käyttävät) on noudatettava Yleistä tietosuoja-asetusta. Lisää tietoa: