Hej, och stort tack för att du vänder dig till oss med din fråga! Nedan kommer jag först ge lite allmän information om dataskyddsförordningen och artikel 3. Därefter kommer jag förklara vad de olika begreppen i artikeln betyder, för att sedan avsluta med en förklaring om hur artikeln ska tolkas och vad det innebär i praktiken.

Vad är dataskyddsförordningen?

Dataskyddsförordningen är får många mer känd under sin engelska förkortning GDPR (General Data Protection Regulation). Förordningen är en EU-förordning som reglerar det mesta som rör personuppgifter. Förordningen är gällande i Sverige och resten av EU sedan 25 maj 2018.

Vad är syftet med artikel 3 i GDPR?

Artikel 3 i GDPR avgör var, rent geografiskt, som GDPR gäller. Utöver detta anger artikel 2 för vilken typ av verksamhet som GDPR gäller.

Enligt artikel 2 så gäller GDPR för all helt eller delvis automatisk behandling av personuppgifter och personuppgifter som kommer att ingå i register. Vissa undantag görs dock i artikeln för exempelvis rent privat insamling av personuppgifter.

Vad är personuppgifter?

En personuppgift kan vara vilken typ av uppgift som helst, så länge det går att koppla uppgiften till en specifik person. Det kan vara t.ex. personnummer, IP-adress, Gatuadress eller DNA.

Definitionen återfinns i artikel 4 p. 1.

Vad är behandling?

Behandling är alla typer av åtgärder som man vidtar med personuppgifterna, t.ex. insamling, registrering, lagring eller läsning.

Definitionen återfinns i artikel 4 p. 2.

Vem är personuppgiftsansvarig?

Det är den som bestämt att uppgifterna ska samlas in, för vilket ändamål det ska ske och på vilket sätt det ska ske. Det kan vara antingen ett företag, en person, en myndighet eller någon annan organisation.

Exempelvis är arbetsgivaren personuppgiftsansvarig för de anställdas personuppgifter som denne samlat in.

Definitionen återfinns i artikel 4 p. 7.

Vad är ett personuppgiftsbiträde?

Någon annan än den personuppgiftsansvarige, men som behandlar personuppgifter åt den personuppgiftsansvarige. Det kan t.ex. vara ett konsultföretag.

Definitionen återfinns i artikel 4 p. 8.

Vad är ett verksamhetsställe?

Begreppet verksamhetsställe definieras inte direkt i GDPR. Av EU-domstolens praxis framgår att begreppet ska tolkas relativt brett.

Det innebär att begreppet omfattar all faktisk verksamhet, även om den är väldigt liten, som bedrivs genom en fast struktur. När det gäller företag så ska dessa alltså vara etablerade på något sätt på platsen för att denna ska utgöra ett verksamhetsställe för företaget.

Som exempel kan nämnas att det inte är tillräckligt att enbart ha en hemsida som besöks av personer i ett visst land. Om hemsidan däremot riktar sig specifikt till personer i ett visst land och företaget även har t.ex. någon anställd i landet, en adress i landet och ett bankkonto i landet så anses företaget ha ett verksamhetsställe i landet.

Hur ska artikel 3.1 förstås?

Vad som krävs enligt artikel 3.1 är alltså dels att den personuppgiftsansvariga eller personuppgiftsbiträdet har ett verksamhetsställe i EU, dels att behandlingen som det är fråga om också utförs inom ramen för den verksamhet som bedrivs på verksamhetsstället.

Det relevanta är alltså inte var själva behandlingen sker eller vilka personer det rör. Även om behandlingen enbart rör personer utanför EU och sker på en server utanför EU så gäller GDPR ändå, så länge som det sker inom ramen för en verksamhet som bedrivs på ett verksamhetsställe i EU.

Är det istället så att den personuppgiftsansvariga är ett företag med verksamhetsställen i flera länder så kanske det finns ett verksamhetsställe i EU, men den aktuella behandlingen anses röra en verksamhet vid ett verksamhetsställe utanför EU. I detta fall är inte GDPR tillämplig.

Hoppas du fick svar på din fråga! Om du har fler frågor är du välkommen att höra av dig till oss igen.