Po GDPR įsigaliojimo buvo aimanoma, kad didžiosios tarptautinės įmonės bus pirmosios, kurioms bus skiriamos sankcijos dėl BDAR nesilaikymo. Tačiau, pirmasis pranešimas apie institucijos sprendimą (pateiktas liepos mėn. Ir paviešintas rugsėjo mėn.), nukreiptas į AggregateIQ Data Services Ltd (AIQ). Politinių konsultacijų ir duomenų analizės įmonę Kanadoje. Įmonė su 20 darbuotojų, padėjo Cambridge Analytica sukurti 2016 m. JAV prezidento rinkimų metu „Facebook“ vartotojams taikomą algoritmą.
AIQ tyrimas, vykdytas ICO (duomenų apsaugos institucija Jungtinėje Karalystėje), prasidėjo dar prieš BDAR įsigaliojimo datą. Tyrimo metu buvo sprendžiamas klausimas: ar bendrovė pažeidė Kanados ir Britų Kolumbijos privatumo įstatymus? Tuomet AIQ atsisakė atsakyti į ICO užklausas, remdamasi tuo, kad Jungtinėje Karalystėje veikianti duomenų apsaugos institucija neturėjo jurisdikcinės galios prieš Kanados įmonę. Tačiau, BDAR apima duomenų valdytojus ir tvarkytojus visame pasaulyje. Tai reiškia, kad jei įmonė renka ir/ar tvarko Europos ekonominės erdvės gyventojų duomenis, jie turi laikytis BDAR nurodymų. Remdamasi tuo, ICO atrado pagrindą teisėtai vykdyti veiksmus prieš AIQ.
GDPR REGISTER PATARIMAS: Net jei jūsų įmonė yra už ES ribų, jai vis dar gali būti taikomos BDAR taisyklės. Tai reiškia, kad įmonės, kurios dirba su ES rinka ir tvarko ES piliečių asmens duomenis (renka, saugo ar naudoja), turi laikytis BDAR.