Hvem skal overholde GDPR

Hvem er helt præcist underlagt GDPR-reglerne?

 

GDPR gælder først og fremmest for alle organisationer i EU både store og små, men også for EØS-medlemmer som f.eks. Norge.

Det betyder i praksis at man som EU-organisation skal overholde alle GDPR-reglerne.

GDPR gælder for næsten alle former for håndtering af personoplysninger. Der er med andre ord ingen forskel på, om der er tale om almindelige oplysninger, følsomme oplysninger.

 

Undtagelserne af hvem der skal overholde GDPR

 

Når man skal arbejde med GDPR, er det vigtigt at huske, at reglerne først og fremmest gælder for selve behandlingen af personoplysninger. Det er altså regler for, hvad man gør med data og ikke regler for data som sådan.

Netop den del er vigtig at huske, når man skal forstå nogle af de få undtagelser der er i forhold til, hvornår reglerne ikke gælder.

Den primære undtagelse er behandlinger af personoplysninger, der foretages af private personer i private sammenhænge, f.eks. bryllupper, konfirmationer og fødselsdage.

Der er derfor ikke mulighed for at melde sin familie til Datatilsynet, hvis man er utilfreds med den måde de behandler ens personoplysninger, hvis de eksempelvis tager billeder i mens man spiser og siden hen deler dem med resten af familien.

Det er som nævnt kun privatpersonernes behandling af personoplysninger, der er undtaget. Det vil sige, at bryllupsarrangøren, fotografen, udbyderen af den digitale ønskeliste samt de sociale medier alle er omfattet, når de behandler personoplysninger.

Udover behandlinger af personoplysninger, som foretages af privatpersoner som led i deres private og familiemæssige liv, så er der en anden væsentlig undtagelse af overholdelse af GDPR-reglerne.

Det drejer sig om behandling af personoplysninger, som er helt manuel, og som ikke skal indregistreres nogen steder, og som heller ikke er en del af et register.

Det betyder at de fleste håndskrevne noter på post-its, i notesbøger og lignende ikke er omfattet af reglerne, medmindre de skal digitaliseres, eller notesbogen er så systematiseret, at den kan karakteriseres som et register.

 

GDPR udenfor EU

 

Som noget helt særligt, har man med GDPR forsøgt sig med at få reglerne til at gælde udenfor EU.

Det vil sige, at organisationer som ligger i Japan, USA, Sydafrika eller Argentina teoretisk set også er omfattet af EU’s regler, hvis de behandler personoplysninger om EU-borgere eller markedsfører sig overfor EU-borgere. Men hvis de blot behandler personoplysninger for ikke EU-borgere så er de altså ikke omfattet af GDPR-reglerne.

 

Spørgsmål?

Vi håber at du blev klogere på ugens emne. Har du spørgsmål til ovenstående er du mere end velkommen til at kontakte Daniel på dht@legaltechdenmark.com. Du kan læse flere ugens emner her.

 

Tak fordi at du læste med!

 

books-rules-gdpr-legaltechdenmark