Hvor gælder GDPR?
Virksomheder i EU, der behandler personoplysninger om ikke EU-borgere
Af artikel 3 fremgår, at databeskyttelsesforordningen finder anvendelse på behandling af personoplysninger, der foretages som led i aktiviteter, der udføres for en dataansvarlig eller databehandler, som er etableret i Unionen, uanset om behandlingen finder sted i Unionen.
Med andre ord, vil en virksomhed, der er etableret i Danmark eller EU, være omfattet af databeskyttelsesforordningen, også selv om virksomheden alene behandler personoplysninger for eksempelvis amerikanske borgere.
Virksomhedens retlige form er ikke afgørende, og der kan derfor være tale om en filial, et datterselskab eller noget helt tredje. Det følger af retspraksis, at begrebet ”etableret” omfatter selv en minimal, reel og faktisk aktivitet, der udøves via en permanent struktur.
Man bør som virksomhed hermed være opmærksom på, at der skal meget lidt til, for at man betragtes som etableret i EU, og at man dermed forpligtes til at give ikke EU- borgere den samme beskyttelse som EU-borgere inden for rammerne af GDPR – uanset hvor i verden borgerne befinder sig.
Virksomheder uden for EU
Databeskyttelsesforordningens indfører en ændring i forhold til de tidligere regler ved, at forordningen finder anvendelse på behandlinger, der har virkning for fysiske personer, som befinder sig inden for EU’s grænser. Det er dermed ikke længere en betingelse, at behandlingen af personoplysninger sker med hjælpemidler inden for EU.
Anvendelsesområdet for virksomheder, der ikke er etableret i EU er dog afgrænset til at omfatte behandlingsaktiviteter:
- der vedrører udbud af varer eller tjenester til registrerede i EU, uanset om varen eller tjenesten kræver betaling, og
- overvågning af registreredes adfærd, for så vidt deres adfærd finder sted i EU.
Idet borgere via internettet i høj grad kan tilgå varer og tjenester fra mange forskellige lande, er det centralt at undersøge, om det er åbenbart, at den dataansvarlige eller databehandleren påtænker at udbyde sine varer eller tjenesteydelser til registrerede i EU.
I denne vurdering kan bl.a. lægges vægt på, om udbyderen henvender sig konkret til EU-borgere, fx ved at tilbyde information på sprog, der overvejende benyttes i EU eller med EU-valuta. Desuden kan omtale af kunder og brugere, der befinder sig i EU tydeliggøre, at den dataansvarlige eller databehandleren henvender sig til denne målgruppe.
Det forhold, at EU-borgere har adgang til udbyderens websted, mailadresse eller andre kontaktoplysninger, eller at der anvendes et sprog, der også almindeligvis anvendes i det tredjeland, hvor udbyderen er etableret, er i sig selv utilstrækkeligt til at fastslå, at den dataansvarlige eller databehandleren henvender sig til EU-kunder.
Behandling af personoplysninger vedrørende registreredes adfærd i EU er også omfattet af forordningen. Det afgørende for, hvorvidt der er tale om en overvågning er, om fysiske personer spores på internettet, fx via indsamling af IP-adresser, herunder at der benyttes teknikker til profilering, navnlig med det formål at træffe beslutning om den pågældende eller analysere eller forudsige den pågældendes præferencer, adfærd eller holdninger. Dette forekommer eksempelvis ved online markedsføring.
Virksomheder uden for EU er dermed omfattet af GDPR i det omfang, de konkret udbyder varer eller tjenesteydelser til EU-borgere eller foretager overvågning af EU-borgere, fx med henblik på online markedsføring.