Answer
Svar
Förordningen är tillämplig på
- företag eller enheter som behandlar personuppgifter som en del i verksamheten hos en filial etablerad i EU, oavsett var uppgifterna behandlas,
- företag som är etablerade utanför EU och erbjuder varor/tjänster (mot betalning eller gratis) eller övervakar beteendet hos enskilda personer i EU.
Om ert företag är ett litet eller medelstort företag som behandlar personuppgifter enligt beskrivningen ovan, så måste ni följa förordningen. Men om behandling av personuppgifter inte ingår i ert företags kärnverksamhet och er verksamhet inte ger upphov till risker för enskilda personer, gäller vissa skyldigheter i förordningen inte för er (ni behöver t.ex. inte utnämna ett dataskyddsombud). Lägg märke till att ”kärnverksamhet” innefattar verksamheter där behandling av uppgifter utgör en ofrånkomlig del av den personuppgiftsansvariges eller personuppgiftsbiträdets verksamhet.
Exempel
När förordningen gäller
Ert företag är ett litet företag för eftergymnasial utbildning etablerat utanför EU, som är verksamt online. Verksamheten r främst inriktad på spansk- och portugisiskspråkiga universitet och högskolor i EU. Företaget erbjuder gratis rådgivning om ett antal kurser och studenterna behöver ett användarnamn och ett lösenord för att ta del av ert onlinematerial. Företaget ger studenterna detta användarnamn och lösenord när de fyller i ett anmälningsformulär.
När förordningen inte gäller
Ert företag är en tjänsteleverantör etablerad utanför EU. Företaget tillhandahåller tjänster till kunder utanför EU. Kunderna kan använda företagets tjänster när de reser till andra länder, även inom EU. Förutsatt att de tjänster företaget tillhandahåller inte riktar sig specifikt till enskilda personer i EU, så är företaget inte underställt reglerna i förordningen.