Territoriellt tillämpningsområde - Centrala regler i dataskyddsförordningen

3 Centrala regler i dataskyddsförordningen

3.5 Territoriellt tillämpningsområde

av de lagliga grunderna för personuppgiftsbehandling måste vara tillämplig, och att samtliga principer i artikel 5.1 måste följas.217 Om känsliga personuppgifter ska behandlas måste ytterligare en laglig grund finnas enligt artikel 9.2.218

De lagliga grunder som anges i artikel 6 överlappar i viss utsträckning varandra. Flera punkter kan därmed vara tillämpliga rörande en och samma behandling. Den personuppgiftsansvariga måste då bestämma sig för vilken av de lagliga grunderna som ska åberopas. Om så inte sker kan den personuppgiftsansvarige inte lämna korrekt information till den registrerade om dennes rättigheter, eftersom de är beroende av vilken laglig grund behandlingen vilar på.219 Den lagliga grunden måste enligt Artikel 29-gruppen bestämmas innan uppgifter samlas in, eftersom den lagliga grunden måste anges vid inhämtandet av uppgifterna.220

Den lagliga grunden ska enligt artikel 6.3 1 st. förordningen fastställas i enlighet med unionsrätten eller en medlemsstat nationella rätt som den personuppgiftsansvarige omfattas av. Den innebär däremot inte att den lagliga grunden måste fastställas i enlighet med lag, utan på ett konstitutionellt korrekt sätt.221 Följaktligen måste bland annat reglerna om normgivning i 8 kap. RF följas.222

3.5 Territoriellt tillämpningsområde

Förordningens territoriella tillämpningsområde framgår av artikel 3. Artikeln återspeglar EU-lagstiftarens avsikt att säkerställa ett omfattande skydd för registrerades rättigheter, och att etablera en jämn spelplan för företag som är verksamma inom EU.223 Reglerna i artikeln är tvingande på så sätt att personuppgiftsansvariga och registrerade eller andra parter inte kan avtala om att dataskyddsförordningen inte ska tillämpas eller att avvikande regler ska gälla.224

217 Öman, s. 147.

218 A. st.

219 T.ex. aktualiseras rätten att göra invändningar enligt artikel 21 bara om behandlingen grundar sig på artikel 6.1 e) eller f).

220 EDPB Guidelines 5/2020 on consent under Regulation 2016/679, s. 25.

221 Prop. 2017/18:105 s. 51.

222 A. prop.

223 EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), s. 4.

Den s.k. etableringslandsprincipen i artikel 3.1 är utgångspunkten för regleringen om det territoriella tillämpningsområdet.225 Den principen innebär att dataskyddsreglerna i första hand gäller för en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i EU/EES. Det saknar därmed betydelse var själva behandlingen utförs.226 Det har inte heller betydelse vilket medborgarskap eller vilken uppehållsort den registrerade har.227 Däremot krävs det enligt artikel 3.1 att behandlingen sker inom ramen för den verksamhet som den etablerade bedriver inom EU. Den delen av artikel 3.1 ska å ena sidan inte tolkas för restriktivt, men å andra sidan inte tolkas så brett att en aktör som annars är verksam utanför EU/EES omfattas av EU:s dataskyddsreglering så fort någon typ av behandling sker.228 Exempelvis kan viss kommersiell aktivitet från en sådan aktörs sida ligga så pass långt ifrån personuppgiftsbehandling att aktiviteten inte är tillräcklig för att aktören ska omfattas av dataskyddsförordningens tillämpningsområde.229 Två omständigheter kan ligga till grund för bedömningen av om behandling utförs av en personuppgiftsansvarig eller ett personuppgiftsbiträde inom ramen för dennes verksamhet som är etablerad i EU. Den första är förhållandet mellan den personuppgiftsansvarige eller personuppgiftsbiträdet utanför EU och dess lokala etablering i EU. Om de har ett sådant förhållande till varandra att de är inextracibly linked kan EU-rätten bli tillämplig, även om den lokala etableringen inte deltar i personuppgiftsbehandlingen.230 Den andra omständigheten är vilka inkomster en lokal etablering har i EU. Den inkomstbringande verksamheten kan anses som inextricably linked till personuppgiftsbehandling som äger rum utanför EU, och på så sätt kan EU-rättsliga regler bli tillämpliga.231

I artikel 3.2 utsträcks tillämpningsområdet till en personuppgiftsansvarig eller ett personuppgiftsbiträde som är etablerad i tredjeland, om denne riktar erbjudanden om varor eller tjänster till registrerade i EU eller övervakar deras beteende.232 Det krävs enligt den här punkten att den registrerade fysiskt befinner sig i EU när behandlingen sker.233 Däremot måste den

225 Öman, s. 49. Se även Törngren, Dataskyddsförordningen, artikel 3, Lexino lagkommentar (JUNO), 2019-03-11.

226 Ledendal m.fl., s. 287, se även skäl 22 till förordningen.

227 Öman, s. 49.

228 EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), s. 7.

229 A. a. s. 7 f.

230 A. a. s. 8.

231 A. st.

232 Detta kan sägas ge uttryck för effektlandsprincipen, se Törngren, Dataskyddsförordningen, artikel 3, Lexino lagkommentar (JUNO), 2019-03-11. Jfr. prop. 2017/18:105 s. 39.

233 Öman, s. 51. Se även Törngren, Dataskyddsförordningen, artikel 3, Lexino lagkommentar (JUNO), 2019-03-11.

registrerade inte vara medborgare eller ha hemvist i EU.234 Detta synsätt speglar vad som gäller enligt EU:s primärrätt, där skyddet för personuppgifter är omfattande och inte har begränsats till att gälla EU-medborgare.235 Det räcker dock inte att det är fråga om behandling av personuppgifter avseende en person som befinner sig i EU för att dataskyddsförordningen ska bli tillämplig enligt artikel 3.2. Det krävs dessutom att behandlingen innefattar någon typ av kartläggning av individer inom EU, på så sätt att de antingen erbjuds varor eller tjänster eller att deras beteende övervakas.236

Ett erbjudande enligt artikel 3.2 a) måste inte ske mot betalning för att förordningen ska bli tillämplig.237 För att avgöra om en personuppgiftsansvarig eller ett personuppgiftsbiträde erbjuder varor eller tjänster till registrerade som befinner sig i EU bör det enligt skälen till förordningen fastställas om det är uppenbart att avsikten är att erbjuda varorna eller tjänsterna till registrerade inom EU.238 Vid bedömningen kan faktorer som användning av ett språk som allmänt används i en eller flera medlemsstater med möjlighet att beställa varor och tjänster på detta språk, eller omnämnande av kunder eller användare som befinner sig i EU ge ledning.239 Om det istället kan tänkas vara fråga om sådan övervakning som omnämns i artikel 3.2 b) bör det fastställas om fysiska personer spåras på internet, och om personuppgifterna därefter behandlas med hjälp av teknik som profilerar fysiska personer.240 Det finns en mängd olika åtgärder som kan utgöra övervakning i den mening som avses i artikel 3.2 b), däribland spårning online genom användande av kakor eller andra tekniker samt geo-lokalisering.241

Den som är etablerad utanför EU men ändå omfattas av förordningen måste skriftligen utse en företrädare i EU som ska fungera som en kontaktpunkt för tillsynsmyndigheter och registrerade enligt artikel 27.242

234 Skäl 14 till förordningen.

235 EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3) s. 14.

236 A. a. s. 15.

237 Artikel 3.2 a) samt Öman, s. 51.

238 EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), s. 15 samt skäl 23 till förordningen.

239 Skäl 23 till förordningen, se även EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), s. 17 f.

240 Skäl 24 till förordningen.

241 EDPB Guidelines 3/2018 on the territorial scope of the GDPR (Article 3), s. 20.

In document Överföring av personuppgifter från EU till USA (Page 47-50)