I veckans blogginlägg ska vi på ett tydligt sätt förklara innebörden av ”territoriell tillämplighet” i den nya dataskyddsförordning (GDPR). Dataskyddsförordningen ersatte personuppgiftslagen (PuL), den svenska lagen som reglerat personuppgifter får hanteras. Dataskyddsförordningen ställer nya och högre krav på företag och föreningar än personuppgiftslagen för deras behandling av personuppgifter – t.ex. privatpersoners namn, adress och telefonnummer.
En ändring som kommer med de nya reglerna är bestämmelserna om den ”territoriella tillämpningen”. Enkelt sagt är det en bestämmelse som reglerar vilka som behöver följa dataskyddsförordningen, detta för att det ska bli en enhetlig reglering för alla EU-medborgare och för alla som befinner sig i EU. I dagens lagstiftning har det varit otydligt vem som ska ta ansvar för hanteringen av personuppgifterna.
Vi tar ett vardagligt exempel: Låt säga att du ska köpa en tröja i en klädbutik. När du kommer fram till kassan frågar butiksbiträdet om du är kundmedlem hos dem. Du säger nej men vill gärna skaffa ett medlemskap för att få ta del av rabatter och erbjudanden. Du uppger ditt namn, din e-postadress och ditt telefonnummer. När butiksbiträdet skriver in dina personuppgifter (namn, e-postadress och telefonnummer) i deras datasystem kan det vara så att dina uppgifter registreras hos butikens huvudkontor i Kanada. Hur ska dina personuppgifter skyddas? Enligt svensk eller kanadensisk lag?
I den nya dataskyddsförodningen ställs det tydligare krav på vem som måste följa den nya lagstiftningen. Detta för att EU-medborgare och besökare i ett EU-land ska veta att deras personuppgifter blir behandlade på samma sätt oavsett var företag befinner sig, inom EU eller utanför EU. Från och med den 25 maj 2018 gäller förordningen för alla företag som behandlar personuppgifter för de som är bosatta eller vistas inom unionen, oavsett var i världen företaget är etablerat. I ovanstående exempel skall alltså dina personuppgifter behandlas som om personuppgifterna vore lagrade i Sverige, trots att så inte är fallet, och omfattas alltså av dataskyddsförordningen.
Vi kan använda oss av ytterligare ett exempel där den australiensiska medborgaren Sarah är på besök i Sverige. Hon går in i en klädbutik som hon vet även finns i USA, som är hennes nästa stopp på resan, och tänker köpa en varmare tröja. Butiksbiträdet frågar om hon är medlem hos dem. Sarah säger nej men vill skaffa ett medlemskap för att få ta del av rabatter och erbjudanden både i Sverige och i USA, och uppger sitt namn, sin e-postadress och sitt telefonnummer. Hennes uppgifter registreras och förs till huvudkontoret i Kanada. Tack vare bestämmelsen om territoriell tillämpning i den nya dataskyddsförordningen så skyddas Sarahs personuppgifter av den nya lagstiftningen och blir behandlade på ett riktigt och enhetligt sätt eftersom hon befinner sig i ett EU-land. Detta gäller trots att hon inte är medborgare i ett EU-land och trots att företaget där hennes personuppgifter behandlas inte befinner sig inom EU.
Har ni frågor om hur ni efterlever GDPR? Mejla oss på info@gdprhero.se eller ring oss på 046 – 273 17 17.