Tohle prostě není pravda. GDPR 37.1 říká, že PDO potřebuje firma, pokud..:
the core activities of the controller or the processor consist of processing operations
which, by virtue of their nature, their scope and/or their purposes, require regular and
systematic monitoring of data subjects on a large scale;
Tj. hlavní činnost firmy nemusí být zpracování osobních údajů, stačí když je to jakákoli činnost, která vyžaduje pravidelné a systematické monitorování datových subjektů (je ovšem dost záhada, co se myslí tím monitorováním, vysvětleno to není).
V diskusi níže se uvádí, že PDO potřebuje např. i "operating a telecommunications network; providing telecommunications services; loyalty programs; behavioural advertising; closed circuit television; smart meters, smart cars, home automation, etc."
https://ec.europa.eu/information_society/newsroom/image/document/2016-51/wp243_annex_en_40856.pdf