Nu när GDPR varit i kraft i två år och många börjat fördjupa sig i specifika delar av förordningen är det enkelt att glömma de grundläggande delarna såsom: är GDPR tillämplig i denna situationen? Vi kommer därför i detta blogginlägg ge en påminnelse om när GDPR är tillämplig. För tro det eller ej, men GDPR är faktiskt inte tillämplig på all personuppgiftsbehandling som sker!

 

Publicerad den 26 maj 2020 

 

Två olika aspekter

GDPR:s tillämpningsområde brukar delas in i två delar: det materiella tillämpningsområdet och det territoriella (geografiska) tillämpningsområdet. För att en behandling ska omfattas av GDPR krävs det att behandlingen omfattas av både det materiella och det geografiska tillämpningsområdet samt att det inte föreligger ett undantag som säger att behandlingen inte ska omfattas av GDPR. Om det föreligger ett undantag kan det vara så att GDPR inte är tillämplig i sin helhet eller att vissa delar av GDPR inte är tillämpliga på behandlingen.

 

Materiellt tillämpningsområde

Artikel 2 i GDPR stadgar att GDPR är tillämplig på:

  • Helt automatisk behandling,
  • Delvis automatisk behandling och
  • Behandling som inte är automatisk (manuell behandling), om personuppgifterna ingår i eller kommer ingå i ett register.

En behandling kan vara delvis automatiserad om en verksamhet samlar in personuppgifter manuellt, för att sedan föra in uppgifterna i ett automatiserat register.

Manuell behandling är när personuppgifterna förekommer i pappersformat. Om en behandling av personuppgifter förekommer i pappersformat krävs det att personuppgifterna ingår i eller kommer ingå i ett register för att GDPR ska vara tillämplig. För att det ska vara ett register enligt GDPR krävs det att registret är sökbart enligt särskilda kriterier. Vid bedömningen av om det är ett sådant register ska det tas hänsyn till om registret är strukturerat på ett sådant sätt att det med lätthet går att återfinna information om en viss person. Som en tumregel kan det vara bra att tänka att det ska finnas två sökvägar för att det ska anses vara ett register. Till exempel om ni samlar in personuppgifter i form av namn och adress om medlemmar behandlar ni personuppgifter om era medlemmar, vilka ingår i ett register. Registret i detta exempel har två sökvägar, namn och adress, och omfattas därför troligtvis av GDPR.

Ni kan läsa mer om vem som skyddas av GDPR här.

 

Geografiskt tillämpningsområde

Utöver ett materiellt tillämpningsområde ska behandlingen även omfattas av GDPR:s geografiska tillämpningsområde, vilket regleras i artikel 3 i GDPR. Artikeln syftar till att bestämma om en viss behandling faller under GDPR:s tillämpningsområde, inte en viss juridisk eller fysisk person.

Artikel 3 i GDPR stadgar att GDPR är tillämplig på:

1. Personuppgiftsansvariga och personuppgiftsbiträden som är etablerade i EU.

En verksamhet anses etablerad i EU om det finns någon verklig och faktisk aktivitet, även om denna är minimal, om den utförs genom ett stabilt arrangemang. En behandling kan även omfattas av GDPR om den utförs i samband med aktiviteter som utförs av en verksamhet som är etablerad i EU. Det innebär att det inte nödvändigtvis måste vara verksamheten som behandlar personuppgifterna, utan det räcker att aktiviteterna kan kopplas till verksamheten.

Var själva behandlingen utförs är inte relevant, utan det som är relevant är att verksamheten anses etablerad i EU.

 

2. Personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU, men som erbjuder varor och tjänster till registrerade i EU samt Personuppgiftsansvariga och personuppgiftsbiträden som inte är etablerade i EU, men som bedriver verksamhet som innebär övervakning av registrerades beteende inom EU.

Om den personuppgiftsansvariga eller personuppgiftsbiträdet inte är etablerade i EU innebär inte det per automatik att GDPR inte är tillämplig. Det räcker nämligen att den registrerade vars personuppgifter behandlas befinner sig inom EU:s gränser och att:

a) Den personuppgiftsansvariga eller personuppgiftsbiträdet erbjuder varor och tjänster till den registrerade eller

b) Den personuppgiftsansvariga eller personuppgiftsbiträdet övervakar den registrerades beteende (inom EU).

För att en verksamhet ska anses erbjuda varor och tjänster till registrerade inom EU eller anses övervaka personer inom EU ska aktiviteten vara avsiktlig. Det räcker alltså inte att en verksamhet tillfälligt eller av misstag riktar sig mot personer i EU.

Om en personuppgiftsansvarig eller ett personuppgiftsbiträde inte är etablerat i EU, men antingen erbjuder varor och tjänster till personer i EU eller övervakar personer i EU, måste verksamheten utse en representant inom EU.

Sammanfattningsvis omfattas en behandling alltså inte av GDPR om:

  • Det är en manuell behandling, där personuppgifterna som behandlas inte ingår i eller kommer ingå i ett register eller
  • Behandlingen sker av en verksamhet som inte är etablerad i EU eller erbjuder varor och tjänster till personer som befinner sig i EU alternativt övervakar personer som befinner sig i EU.

Utöver dessa två krav finns det dessutom undantag för när en behandling inte omfattas av GPDR. Dessa beskrivs närmare i stycket under.

 

Föreligger det ett undantag?

Även om en behandling anses omfattas av både det materiella och det geografiska tillämpningsområdet kan det vara så att behandlingen inte omfattas av GDPR. Det kan nämligen föreligga ett undantag, som gör att behandlingen faller utanför GDPR.

Det vanligaste undantaget är det som brukar kallas ”privatundantaget”. Det innebär att om en behandling utförs av en fysisk person och är av helt privat natur eller har samband med hans eller hennes hushåll, omfattas behandlingen inte av GDPR. Det kan vara exempelvis om en förälder tar foto på sitt barn och sätter upp på väggen i familjens bostad. Notera dock att om föräldern exempelvis lägger ut fotot på sociala medier så blir situationen annorlunda.

Här kan du läsa mer om vad som gäller om barns personuppgifter.

Ett annat undantag är om någon behandlar personuppgifter i samband med utövande av sin yttrande- eller informationsfrihet. Det innebär att svensk grundlag går före GDPR. Detta är möjligt eftersom det i GDPR finns en bestämmelse om att medlemsstaterna i nationell rätt kan göra undantag för just yttrande- och informationsfrihet, vilket Sverige valt att göra.

 

Vi finns här!

Om ni behöver hjälp att uppfylla GDPR i er verksamhet finns vi här för att hjälpa er!

Boka gärna en demo med oss för att få veta mer om hur ni enkelt kan uppfylla de krav som ställs på er! Ni bokar demo här.

 

Josefin Karlström

josefin@gdprhero.se

046 – 273 17 17

Innehållet i denna blogg innehåller allmän information och är inte att betrakta som rådgivning. Användning av denna information sker på egen risk.
Share This