Answer
Svar
GDPR gælder, hvis:
a) jeres virksomhed eller selskab behandler personoplysninger som en del af aktiviteterne i en filial etableret i EU, uanset hvor oplysningerne behandles, eller
b) jeres virksomhed er etableret uden for EU og tilbyder varer eller tjenesteydelser (betalte eller gratis) eller overvåger enkeltpersoners adfærd i EU.
Hvis jeres virksomhed er en lille eller mellemstor virksomhed (SMV), som behandler personoplysninger som beskrevet ovenfor, skal I overholde GDPR. Hvis behandling af personoplysninger imidlertid ikke er en central del af jeres forretning, og jeres aktiviteter ikke skaber risici for enkeltpersoner, vil nogle af forpligtelserne i den generelle forordning om databeskyttelse ikke gælde for jer (f.eks. udpegelse af en databeskyttelsesrådgiver). Bemærk, at »centrale aktiviteter« omfatter aktiviteter, hvor behandling af oplysninger udgør en uløseligt forbundet del af den dataansvarliges eller databehandlerens opgaver.
Eksempler
Her gælder forordningen
Jeres virksomhed er en lille virksomhed, som arbejder med videregående uddannelse på internettet, og I er etableret uden for EU. Den henvender jer hovedsagelig til spanske og portugisiske sproguniversiteter i EU. Den tilbyder gratis hjælp til en række universitetsuddannelser, og de studerende skal have et brugernavn og en adgangskode for at få adgang til jeres onlinemateriale. Jeres virksomhed udleverer brugernavn og adgangskode, når den studerende har udfyldt en tilmeldingsformular.
Her gælder forordningen ikke
Jeres virksomhed er en tjenesteudbyder, der er etableret uden for EU. Den tilbyder tjenesteydelser til kunder uden for Unionen. Jeres kunder kan bruge jeres tjenesteydelser, når de rejser til andre lande, herunder lande i EU. Hvis jeres virksomheds tjenesteydelser ikke specifikt henvender sig til enkeltpersoner i EU, er virksomheden ikke underlagt reglerne i den generelle forordning om databeskyttelse.