Jag har handlat på en norsk nätbutik. Måste de som står bakom företaget följa personuppgiftslagen när de registrerar mina kontaktuppgifter?

Fråga:

Jag har handlat på en norsk nätbutik. Måste de som står bakom företaget följa personuppgiftslagen när de registrerar mina kontaktuppgifter?

Bakgrund

Ett norskt företag med kontor i Oslo har en webbshop på Internet. I webbshopen handlar bland annat svenska kunder. Kunduppgifterna lagras på servrar som finns i Helsingborg. Omfattas det norska företagets behandling av kunduppgifter av personuppgiftslagen?

Svar:

Nej. När den personuppgiftsansvarige är etablerad inom EES-området, vilket är fallet i exemplet ovan, är det platsen där företaget är etablerat som bestämmer vilket lands lagstiftning som ska tillämpas

För att personuppgiftslagen ska gälla krävs att det norska företaget etablerar sig i Sverige i personuppgiftslagens mening och behandlar personuppgifter som ett led i sin svenska verksamhet.

Begreppet etablering i personuppgiftslagens mening kräver både mänskliga och tekniska resurser. Detta innebär exempelvis att om endast en server finns i Helsingborg så är kravet på etablering inte uppfyllt då det endast utgör en teknisk resurs.

För ett företag inom EU eller EES-området som tillhandahåller tjänster via en webbplats på Internet är etableringsorten inte den ort där utrustningen för webbplatsen finns eller den ort från vilken det går att nå webbplatsen, utan den ort där företaget är etablerad och utövar sin verksamhet. Var användaren eller den registrerade befinner sig (eller vilken nationalitet han/hon har) spelar ingen roll i sammanhanget.

Tillbaka till Frågor och svar



Mer information

Personuppgiftslagen och internationell verksamhet

Läs mer om hur och när den svenska personuppgiftslagen gäller i olika gränsöverskridande sammanhang.

Tredjelandsöverföring

Läs mer om vad som gäller när personuppgifter behandlas i tredje land.