GDPR » Kapittel I Alminnelige bestemmelser (art. 1-4) » Artikkel 3. Geografisk virkeområde

Artikkel 3. Geografisk virkeområde

Sammendrag: Personvernforordningen (GDPR) gjelder behandling av personopplysninger for EØS-borgere fra og innenfor EØS for behandlingsansvarlige og databehandlere etablert innenfor EØS uavhengig av hvor behandlingen skjer,. Forordningen gjelder for behandlingsansvarlige og databehandlere etablert utenfor EØS for behandling ved å tilby varer og tjenester til og monitorering av adferd for personer innenfor EØS.

1. Denne forordning får anvendelse på behandling av personopplysninger som utføres i forbindelse med aktivitetene ved virksomheten til en behandlingsansvarlig eller en databehandler i Unionen, uavhengig av om behandlingen finner sted i Unionen eller ikke.

2. Denne forordning får anvendelse på behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, dersom behandlingen er knyttet til

a) tilbud av varer eller tjenester til slike registrerte i Unionen, uavhengig av om det kreves betaling fra den registrerte eller ikke, eller

b) monitorering av deres atferd, i den grad deres atferd finner sted i Unionen. 

3. Denne forordning får anvendelse på behandling av personopplysninger som utføres av en behandlingsansvarlig som ikke er etablert i Unionen, men på et sted der en medlemsstats nasjonale rett får anvendelse i henhold til folkeretten.

Relevante fortalepunkter

Primære fortalepunkter

Virksomheters behandling av personopplysninger innenfor eller utenfor EØS*

22. Enhver behandling av personopplysninger som utføres i forbindelse med aktivitetene i en virksomhet tilhørende en behandlingsansvarlig eller databehandler i Unionen, bør utføres i samsvar med denne forordning, uavhengig av om behandlingen finner sted i Unionen eller ikke. En virksomhet innebærer en effektiv og faktisk utøvelse av aktivitet gjennom en stabil struktur. En slik strukturs rettslige form, enten det dreier seg om en filial eller et datterforetak med status som juridisk person, er ikke av avgjørende betydning i denne forbindelse.
*ikke offisiell overskrift

Behandling innenfor EØS av behandlingsansvarlige/databehandlere etablert utenfor EØS*

23. For å sikre at fysiske personer ikke fratas det vern de har rett til i henhold til denne forordning, bør behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller en databehandler som ikke er etablert i Unionen, omfattes av denne forordning dersom behandlingsaktivitetene er knyttet til tilbud av varer eller tjenester til nevnte registrerte, uansett om det kreves betaling eller ikke. For å avgjøre om nevnte behandlingsansvarlig eller databehandler tilbyr varer eller tjenester til registrerte som befinner seg i Unionen, bør det bringes på det rene om det er åpenbart at den behandlingsansvarlige eller databehandleren har til hensikt å tilby tjenester til registrerte i én eller flere medlemsstater i Unionen. Selv om tilgang til den behandlingsansvarliges, databehandlerens eller en mellommanns nettsted i Unionen, til en e-postadresse eller til andre kontaktopplysninger, eller bruk av et språk som vanligvis benyttes i tredjestaten der den behandlingsansvarlige er etablert, ikke er tilstrekkelig til å fastslå en slik hensikt, kan faktorer som bruk av et språk eller en valuta som vanligvis benyttes i én eller flere medlemsstater, sammen med en mulighet til å bestille varer og tjenester på nevnte andre språk, eller omtale av kunder eller brukere som befinner seg i Unionen, gjøre det åpenbart at den behandlingsansvarlige har til hensikt å tilby varer eller tjenester til registrerte i Unionen.
*ikke offisiell overskrift

Monitorering av personer innenfor EØS av virksomheter etablert utenfor EØS*

24. Behandling av personopplysninger om registrerte som befinner seg i Unionen, og som utføres av en behandlingsansvarlig eller databehandler som ikke er etablert i Unionen, bør også omfattes av denne forordning dersom behandlingen er knyttet til monitorering av de registrertes atferd, så langt atferden finner sted i Unionen. For å fastslå om en behandlingsaktivitet kan anses som monitorering av de registrertes atferd bør det bringes på det rene om det skjer sporing av fysiske personer på internett, herunder en mulig påfølgende bruk av teknikker for behandling av personopplysninger som innebærer profilering av en fysisk person, særlig med det formål å treffe avgjørelser om vedkommende eller analysere eller forutsi vedkommendes personlige preferanser, atferd eller holdninger.
*ikke offisiell overskrift

Behandlingsansvarlige etablert utenfor EØS for lover om gjelder etter folkeretten*

25. Dersom medlemsstatens nasjonale rett får anvendelse i kraft av folkeretten, bør denne forordning også få anvendelse på en behandlingsansvarlig som ikke er etablert i Unionen, f.eks. ved en medlemsstats diplomatiske stasjoner eller konsulater.
*ikke offisiell overskrift

Øvrige relevante fortalepunkter

Teknologiens betydning*

6. Den raske teknologiske utviklingen samt globaliseringen har skapt nye utfordringer med hensyn til vern av personopplysninger. Omfanget av innsamlingen og utvekslingen av personopplysninger har økt betraktelig. Teknologien gjør det mulig for både private selskaper og offentlige myndigheter å benytte seg av personopplysninger i sitt arbeid i et helt nytt omfang. Fysiske personer gjør i stadig større grad personopplysninger offentlig tilgjengelig, også globalt. Teknologien har endret både økonomien og det sosiale liv og bør ytterligere fremme den frie flyt av personopplysninger i Unionen og overføring av disse til tredjestater og internasjonale organisasjoner, samtidig som det sikres et høyt nivå for vern av personopplysningene.
*ikke offisiell overskrift

Engelsk tekst

Article 3. Territorial scope

1. This Regulation applies to the processing of personal data in the context of the activities of an establishment of a controller or a processor in the Union, regardless of whether the processing takes place in the Union or not.

2. This Regulation applies to the processing of personal data of data subjects who are in the Union by a controller or processor not established in the Union, where the processing activities are related to:

(a) the offering of goods or services, irrespective of whether a payment of the data subject is required, to such data subjects in the Union; or

(b) the monitoring of their behaviour as far as their behaviour takes place within the Union.

3. This Regulation applies to the processing of personal data by a controller not established in the Union, but in a place where Member State law applies by virtue of public international law.

< Artikkel 2 | Artikkel 4 >