Med indførelsen af GDPR vil den europæiske persondatabeskyttelseslovgivning være gældende uden for EU’s grænser. Vi kigger nærmere på, hvornår en ikke-europæisk organisations aktiviteter bliver omfattet lovgivningen.

Internettet er et særligt grænseløst rum. Dette er en af dets største fordele, når man udveksler data, og en af de største udfordringer, når det kommer til anvendelse af lovgivningen. På grund af internettets særlige størrelse er det længe blevet debatteret, hvordan man skulle håndtere EU’s regler om persondatabeskyttelse, når man behandlede personoplysninger i forbindelse med onlinetjenester.

Før indførelsen af GDPR var det svært at gøre lovgivningen om persondatabeskyttelse gældende for dataansvarlige og databehandlere uden for EU. Den væsentligste årsag var, at der ikke var fokus på de personer, hvis data blev behandlet, da anvendelsen af lovgivningen blev fastlagt. Den eneste måde at gøre lovgivningen om persondatabeskyttelse gældende for en databehandler uden for EU var, hvis denne databehandlers databehandling blev udført inden for EU’s grænser. Dette gør GDPR nu op med.

EU-regler gælder uden for EU
Enhver organisation – med enkelte undtagelser – der behandler personoplysninger inden for EU falder ind under GDPR’s anvendelsesområde. Intet har ændret sig her i forhold til situationen før GDPR. Imidlertid er det såkaldte territoriale anvendelsesområde blevet udvidet, således at EU-reglerne for persondatabeskyttelse nu også kan gøres gældende over for de dataansvarlige uden for EU. Konsekvensen af denne udvidelse er, at dataansvarlige og databehandlere uden for EU overholder de europæiske databeskyttelsesforpligtelser, når de behandler data fra personer i EU til specifikke formål.

Målrettet EU-borgere
En ikke-EU-organisation kan falde ind under GDPR’s anvendelsesområde, når de tilbyder varer eller tjenesteydelser til personer i EU. For eksempel er en kinesisk webshop, der er til rådighed på tysk, fransk eller engelsk, og som både behandler ordrer og sælger produkter til EU-borgere omfattet af GDPR, selv om de ikke har et forretningssted i EU og ikke udfører nogen databehandlingsaktiviteter inden for EU.

Det betyder ikke noget, om de tjenester, en webshop som i eksemplet ovenfor tilbyder, er betalt eller gratis. GDPR anser ikke dette aspekt som afgørende for, om en virksomhed eller organisation falder ind under anvendelsesområdet. Som sådan skal en gratis cloudlagringstjeneste fra USA overholde alle GDPR’s forpligtelser, hvis tjenesten også tilbydes til brugere inden for EU.

Overvågning af EU-borgere
En anden situation, hvor ikke-EU-organisationer kan falde ind under GDPR’s anvendelsesområde er, når de overvåger personers adfærd inden for Den Europæiske Union. En leverandør af sociale netværk, der tillader brugere fra EU at deltage, falder således ind under GDPR’s anvendelsesområde. Det samme gælder for en appudvikler, der beslutter sig for eksempelvis at samle lokaliseringsdata for EU-borgere fra deres smartphones.

Hvad er din strategi?
GDPR medfører et højt beskyttelsesniveau af personer inden for EU, hvis data behandles af organisationer, der er etableret uden for unionen. For virksomheder er det vigtigt at vurdere, om disse nye forpligtelser vil være gældende for dem og sørge for, at de overholder lovgivningen.