Reglene gjelder også virksomheter utenfor Europa

Virksomheter utenfor EU eller EØS

Virksomheter som er etablert utenfor EU- eller EØS-området må følge forordningens regler dersom de:

  1. tilbyr varer og tjenester til EU- eller EØS-borgere
  2. kartlegger EU- eller EØS-borgeres adferd innen EU- eller EØS-området

Disse reglene følger av forordningens artikkel 3.

Virksomheter i flere EU- eller EØS-land

Virksomheter som er etablert i flere EU- eller EØS-land trenger bare å forholde seg til datatilsynsmyndighetene i landet der de har sin hovedetablering. Unntaket er hvis behandlingen av personopplysninger bare skjer i ett land eller bare i vesentlig grad påvirker registrerte i ett land. Da kan datatilsynsmyndighetene i landet som er berørt, følge opp behandlingen.

Med hovedetablering menes det stedet virksomheten har sin sentraladministrasjon. Det er imidlertid også noen unntak fra denne regelen:

Dersom virksomheten er behandlingsansvarlig, men formålet med og virkemidlene for behandlingen av personopplysninger blir fastsatt et annet sted, er det stedet disse fastsettes som regnes som hovedetableringen.

Eksempel: En virksomhet har sentraladministrasjonen i Oslo, men det er avdelingen i Reykjavik som bestemmer formålet med og virkemidlene for bruken av personopplysninger. Avdelingen i Reykjavik regnes da som hovedetableringen.

Dersom virksomheten er databehandler og ikke har en sentraladministrasjon innenfor EU- eller EØS-området, regnes hovedetableringen som det stedet der hoveddelen av behandlingen av personopplysninger skjer.

Eksempel: En virksomhet har sentraladministrasjon i New York. Den tilbyr blant annet serverplass for europeiske virksomheter. De fleste serverne står i Stockholm, men det finnes også en server i København. Virksomheten behandler også personopplysninger til egne formål i Helsinki, og det er her flest personopplysninger behandles. Avdelingen i Stockholm regnes da som hovedetableringen for databehandlingen.

Uansett hvilken datatilsynsmyndighet virksomheten forholder seg til, vil den registrerte alltid kunne klage til datatilsynet i landet der vedkommende bor eller jobber.

Forordningen inneholder også regler for hvordan datatilsynene i Europa skal samarbeide. Som en del av dette samarbeidet skal det opprettes et eget European Data Protection Board (EDPB). EDPB skal blant annet skal koordinere og gi råd om behandling av personopplysninger i EU- eller EØS-området.

Reglene for dette står i forordningens artikler 4, 56 flg. og 77.