Det ekstraterritorielle prinsippet i GDPR reiser flere spørsmål, som det ikke nødvendigvis er et opplagt svar på. Personvernrådet (EDPB) har sendt en veileder på høring, hvor særlig tre hovedspørsmål drøftes.
Når er en virksomhet etablert i EØS-området?
GDPR gjelder dersom personopplysninger behandles i forbindelse med aktivitetene til en behandlingsansvarlig eller databehandler som er etablert i EØS-området. Selv om dette ikke er nytt, gir EDPB veiledning om hvordan etableringskavet skal forstås.
Det fremgår av veilederen at det med etablert virksomhet menes en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. Strukturens rettslige form er ikke avgjørende.
EDPB antar at selv én ansatt eller agent i et EØS-land etter forholdene kan være tilstrekkelig til å anses som en etablert virksomhet, gitt at tilstedeværelsen har tilstrekkelig stabil struktur.
Her videreføres rettstilstanden som ble etablert av EU-domstolen i 2015, i saken som gjaldt søkemotoren til det amerikanske selskapet Google Inc. Selskapet ble ansett å være etablert i EØS, som følge av et det var etablert et salgskontor Spania. Dette gjaldt selv om det lokale salgskontoret ikke var involvert i søkemotoraktivitetene. Samtidig understreker EDPB at det ikke er nok for å oppfylle etableringskravet at man har en nettside som er tilgjengelig fra et EØS-land.
EDPB understreker videre at det sentrale er hvorvidt behandlingen skjer i konteksten av aktiviteter som skjer innenfor EØS-området eller ikke. Det er derfor uten betydning hvor i verden personopplysningene faktisk behandles,og hvor i verden de registrerte bor eller befinner seg.
EDPB klargjør også at en virksomhet ikke anses å være etablert i EØS, utelukkende fordi vedkommende benytter en databehandler som er etablert her. Imidlertid vil en databehandler i noen tilfeller kunne utgjøre en etablering for den behandlingsansvarlige, for eksempel når databehandleren også er et datterselskap eller en filial av en virksomhet i tredjeland.
Når gjelder GDPR for virksomheter som ikke er etablert i EØS-området?
Selv om en virksomhet ikke er etablert i EØS-området, gjelder GDPR dersom personopplysningene behandles i tilknytning til at virksomheten tilbyr varer eller tjenester til individer innenfor EØS-området, eller innebærer monitorering av atferd til individer her.
EDPB understreker at dette gjelder selv om varene eller tjenestene ikke koster noe, og at informasjonssamfunnstjenester som for eksempel app-er omfattes, såfremt de er rettet mot individer i EØS-området. Det gjelder typisk dersom tjenestene tilbys på lokalt språk eller på annen måte er tilpasset lokale forhold i et EØS-land.
Selv om monitorering omfattes bare dersom den adferden som monitoreres skjer innenfor EØS-området, uttaler EDPB at dette også kan omfatte sporing og profilering over Internett eller via annen grenseoverskridende teknologi. Samtidig skal ikke enhver innsamling eller analyse av personopplysninger over nettet regnes som monitorering.
Gjelder GDPR dersom kun databehandleren er etablert i EØS?
Personvernrådet understreker at selv om GDPR ikke gjelder for en behandlingsansvarlig utenfor EU/EØS, vil forordningen likevel kunne gjelde for dennes databehandler som er etablert her. Dette omfatter bare de plikter i GDPR som direkte retter seg mot databehandlere, og som er angitt i veilederen. Samtidig antyder EDPB at dersom GDPR ikke gjelder direkte for behandlingsansvarlig, har databehandleren likevel et ansvar for sørge for at sin behandling er lovlig etter øvrige regler i EU-retten og nasjonal rett. EDPB går imidlertid ikke nærmere inn på hvordan de ser for seg at dette ansvaret skal praktiseres.
Kontroll og håndhevelse
Det er fremdeles en rekke ubesvarte spørsmål rundt det ekstraterritorielle prinsippet i GDPR. En viktig og praktisk problemstilling er hvordan tilsynsmyndighetene skal kunne kontrollere etterlevelsen av og håndheve GDPR overfor virksomheter utenfor EU/EØS. Det gjenstår å se om ordningen med å utpeke en representant for virksomheten vil vise seg å være en effektiv løsning på dette problemet.
Veilederen er tilgjengelig på engelsk her.
Denne artikkelen ble først publisert i Finansavisen mandag 13. januar 2019.