Vad gäller om en stor koncern har en databas i Tyskland där man behandlar löneuppgifter för anställda i ett svenskt dotterbolag?

Fråga:

Vad gäller om en stor koncern har en databas i Tyskland där man behandlar löneuppgifter för anställda i ett svenskt dotterbolag?

Bakgrund

Ett svenskt bolag med huvudkontor i Malmö är en del av en europeisk koncern som har en gemensam databas i Tyskland. Databasen innehåller uppgifter om alla anställda inom koncernen. Det svenska bolaget behandlar personuppgifter gällande anställda i databasen i sin roll som arbetsgivare. Är det personuppgiftslagen som ska tillämpas på det svenska bolagets personuppgiftsbehandling?

Svar:

Ja. När den personuppgiftsansvarige är etablerad inom EU eller EES-området, vilket är fallet i exemplet ovan, är det platsen där företaget är etablerat som bestämmer vilket lands lagstiftning som ska tillämpas.

Det svenska bolaget är etablerat i Sverige och personuppgiftsansvarig för behandlingen av sina anställdas personuppgifter i sin roll som arbetsgivare.

Detta exempel visar att en databas kan vara föremål för flera medlemsländers dataskyddslagstiftningar. Exemplet illustrerar det faktum att det inte är platsen dit personuppgifterna skickas utan det är platsen där den personuppgiftsansvarige är etablerad och utövar sin verksamhet som avgör vilket EU- eller EES-lands dataskyddslagstiftning som gäller.

Tillbaka till Frågor och svar



Mer information

Personuppgiftslagen och internationell verksamhet

Läs mer om hur och när den svenska personuppgiftslagen gäller i olika gränsöverskridande sammanhang.

Tredjelandsöverföring

Läs mer om vad som gäller när personuppgifter behandlas i tredje land.