Territoriellt tillämpningsområde

För att förstå förordningens territoriella tillämpningsområde kan fyra företagsformer användas som exempel.

(i) Ett europeiskt företag som behandlar européers personuppgifter,

125 Mål C-101/01, Lindqvist, § 27.

126 Mål C-212/13, Ryneš.

127 I målet var det frågan om Google Searchs verksamhet som bestod i att lokalisera information som har publicerats eller lagts ut på internet av tredje män, indexera den på automatisk väg, lagra den tillfälligt och slutligen ställa den till förfogande för internetanvändare enligt en viss prioriteringsordning.

128 Mål C-131/12, Google Spain, § 41.

129 Mål C-311/18, Schrems II, § 83.

130 Se skäl 72 dataskyddsförordningen.

131 Se EDPB, Guidelines 8/2020 s. 3 f.; Ausloos, 2020, s. 3 f.; Lynskey, 2015, s. 197; Larsson, 2020, s. 8 och 21

30 (ii) ett amerikanskt företag med dotterbolag i Europa som behandlar européers

personuppgifter,

(iii) ett amerikanskt företag som behandlar européers personuppgifter och (iv) ett amerikanskt bolag som inte behandlar européers personuppgifter.

Dataskyddsförordningens territoriella tillämpningsområde stadgas i artikel 3. Inledningsvis kan konstateras att artikeln inte gör någon åtskillnad på tillämpningsområdet för en personuppgiftsansvarig eller personuppgiftsbiträde¹³⁴. Artikeln är vidare uppdelat utifrån två kriterier – etableringskriteriet enligt 3.1. och riktningskriteriet enligt 3.2. I artikel 3.3 anges dessutom att dataskyddsförordningen ska tillämpas om medlemsstatens nationella rätt gäller, enligt folkrätten. Enligt artikelns ordalydelse framgår att kriterierna är alternativa, varför det är tillräckligt att ett av kriterierna är uppfyllda för att förordningen ska vara tillämplig. Nedan kommer etableringskriteriet och riktningskriteriet att förklaras.

3.3.1 Etableringskriteriet

För att etableringskriteriet ska vara uppfyllt krävs att bolaget har ett verksamhetsställe inom unionen, och att behandling sker inom ramen för det verksamhetsstället.¹³⁵ Viss behandling kan bedömas ske inom ramen för verksamhetsområdet medan viss behandling kan bedömas falla utanför tillämpningsområdet. ¹³⁶ Så kan vara fallet om bolaget har en komplicerad bolagsstruktur med olika dotterbolag eller filialer, likt Google Spain-målet beskrivet nedan.

Definitionen av verksamhetsställe saknas i förordningen men ingressen kan användas som vägledning i frågan.¹³⁷ Här framgår:

Verksamhetsställe innebär det faktiska och reella utförandet av verksamhet med hjälp av en stabil struktur. Den rättsliga formen för en sådan struktur, oavsett om det är en filial eller ett dotterföretag med status som juridisk person, bör inte vara den avgörande faktorn i detta avseende.¹³⁸

Av det ovan anförda kan fastställas att det första typexemplet omfattas av etableringskriteriet eftersom företaget är etablerat inom unionen. Så länge behandlingen sker av personuppgifter

134 Se kapitel 3.5 för definitioner.

135 EDPB, Riktlinjer 3/2018, s. 15

136 EDPB, Riktlinjer 3/2018, s. 5.

137 Se t.ex. mål C-131/12, Google Spain, §48; Mål C-230/14, Weltimmo § 28; Mål C-191/15, Amazon, § 75; Jfr.

skäl 19 dataskyddsdirektivet med skäl 20 dataskyddsförordningen; Se också EDPB, Riktlinjer 3/2018, s. 6 där de anger att formuleringen i direktivets ingress är identisk med dataskyddsförordnigens; Se dock artikel 4.16 i dataskyddsförordningen som definierar begreppet huvudsakligt verksamhetsställe.

138 Skäl 22 i dataskyddsförordningen.

31 inom ramen för verksamheten träffas företaget i fråga av etableringskriteriet. De registrerades ursprung saknar relevans, enligt artikelns ordalydelse. Mer utredning krävs för att kunna bedöma typexempel två. EDPB förespråkar en tredelad metod för att fastställa huruvida artikel 3.1 är tillämplig, vilken tydliggörs genom Google Spain-målet.¹³⁹ Metoden innebär att (i) fastställa att företaget har ett verksamhetsställe inom unionen, (ii) fastställa att behandlingen av personuppgifter som utförs inom ramen för arbetet på verksamhetsstället och (iii) konstatera att dataskyddsförordningen kan tillämpas på en personuppgiftsansvariges eller personuppgiftsbiträdes verksamhetsställe inom unionen, oavsett om behandlingen av personuppgifter sker i unionen eller inte.¹⁴⁰

Frågan i målet var om direktivet kunde tillämpas på Googles behandlingen av personuppgifter.

Behandling hade skett av Google inc. genom deras söktjänst Google Search. Google hade också ett dotterbolag – Google Spain – vilken bedrev marknadsföring riktad till invånare i Spanien. I målet var klart att Google Spain var etablerat i EU. Domstolen kunde därmed som ett första steg fastställa att Google, genom sitt dotterbolag, hade ett verksamhetsställe inom unionen.

När så var fastställt undersökte domstolen, som ett andra steg, om behandlingen av personuppgifter skedde inom ramen för verksamhetsstället bedrivet inom unionen. För att uppfylla den delen krävdes att Google Spain bedömdes utgöra ett led i den verksamhet Google Inc. bedrev. Domstolen anförde att så var fallet med beaktande av att marknadsföringen var riktad till medborgare i en medlemsstat. Marknadsföringen gjordes möjlig av Google Search och bidrog till att göra Googles verksamhet lönsam. Domstolen beaktade dessutom den omständighet att sökresultaten visas på samma sida som reklamen, vilken i sin tur har ett samband med sökorden. I enlighet med det sista och tredje steget konstaterade domstolen att dataskyddsförordningen kunde tillämpas på Google Inc.¹⁴¹

Av målet kan utläsas att etableringskriteriet ska tolkas vidsträckt, ¹⁴² vilket överensstämmer med förordningens bakomliggande syfte samt stadgan.¹⁴³ Ett amerikanskt företag som behandlar personuppgifter och som har ett dotterbolag i Europa, likt typexempel två, kan träffas

139 Jfr. EDPB, Riktlinjer 3/2018, s. 5 ff. med mål C-131/12, Google Spain, § 46 ff.

140 EDPB, Riktlinjer 3/2018, s. 5 ff.

141 Mål C-131/12, Google Spain, § 46 ff.

142 Se mål C-131/12, Google Spain § 53; Voigi och von dem Bussche, 2017, s. 22.

143 Förslag till europaparlamentets och rådets förordning om skydd för enskilda personer med avseende på behandling av personuppgifter och om det fria flödet av sådana uppgifter (allmän uppgiftsskyddsförordning), kapitel 1.

32 av etableringskriteriet. Det väsentliga är att den personuppgiftsansvarige bedriver verksamhet inom EU och behandling av personuppgifter görs inom ramen för den verksamheten. Hur långt förordningens territoriella tillämpningsområde sträcker sig är dock inte helt klart, främst eftersom det saknas praxis för att tolka dataskyddsförordningens bestämmelse. Endast den omständighet att ett företag har en webbplats tillgänglig i en medlemsstat bör inte uppfylla etableringskriteriet.¹⁴⁴ Det kan i vart fall konstateras att etableringskriteriets tillämpning sträcker sig långt och omfattar typexempel ett och två.¹⁴⁵ De amerikanska företagen likt typexempel tre och fyra som saknar koppling till EU genom etablering kan ändå omfattas av det territoriella tillämpningsområdet genom riktningskriteriet.

3.3.2 Riktningskriteriet

Riktningskriteriet i artikel 3.2 träffar företag – trots att de inte är etablerade inom unionen över huvud taget – och riktar sig till individer som befinner sig i unionen. Därmed kan företag likt typexempel tre och fyra träffas av förordningens tillämpningsområde förutsatt att de behandlar personuppgifter på ett visst sätt. Enligt artikeln träffas företagen då de:

a) utbjuder av varor eller tjänster till registrerade i unionen, oavsett om dessa varor eller tjänster erbjuds kostnadsfritt eller inte, eller

b) övervakar registrerades beteende så länge beteendet sker inom unionen.

Förordningen tillämpas således på behandling av personuppgifter trots att behandlingen utförs utanför unionen, precis som etableringskriteriet. Av vikt är vad som behandlas och var individen befinner sig. En personuppgiftsansvarig kan därmed träffas av förordningens tillämpningsområde avseende en typ av behandling men inte avseende en annan. ¹⁴⁶ Bedömningen ska ske vid den tidpunkt då relevant verksamhet utförs, alltså när varor och tjänster utbjuds eller när personen övervakas.¹⁴⁷ Riktningskriteriet gör således att förordningen är tillämpligt på behandling av personuppgifter av företag etablerade utanför unionen när syftet är att rikta reklam till medborgare i unionen. Det saknas enligt artikelns ordalydelse betydelse om varorna eller tjänsterna erbjuds kostnadsfritt eller inte. Det betyder därför att företag enligt typexempel tre och fyra kan komma att omfattas av förordningens tillämpningsområde.

144 Mål C-191/15, Amazon, § 76. Se också EDPB, Riktlinjer 3/2018, s. 7.

145 Se också EDPB, Riktlinjer 3/2018, s. 4.

146 EDPB, Riktlinjer 3/2018, s. 15.

147 EDPB, Riktlinjer 3/2018, s. 15.

33 Om exempelvis ett amerikanskt företag övervakar en amerikans beteende som befinner sig i unionen tillämpas förordningen på en sådan behandling. Bedömningen ska ske från fall till fall.¹⁴⁸ Det går att argumentera för att den typ av övervakning som sker av individers rörelsemönster på webben och genom GPS-signaler utgör övervakning av beteende.¹⁴⁹ Som tidigare angivits sker dessutom en mängd olika typer av behandling kopplad till övervakning av och marknadsföring till individer.¹⁵⁰ Förordningen träffar de typer av behandling beskriven ovan, oavsett var företagen är etablerade. Krav finns på att individen befinner sig inom unionen när behandlingen sker. ¹⁵¹

En överföring av personuppgifter kan vara en sådan behandling som också omfattas av unionens tillämpningsområde. Det viktiga är att undersöka varje behandling för sig utifrån de relevanta omständigheterna i det enskilda fallet. För att uppnå det bakomliggande syftet med förordningen och med beaktande av artikelns vidsträckta räckvidd, är tröskeln för att omfattas av någon av kriterierna i artikeln inte särskilt hög.¹⁵²