Personuppgiftslagen och internationell verksamhet

Vilkets lands dataskyddsregler gäller när företag har verksamhet i flera länder?

När företag eller andra organisationer bedriver verksamhet och behandlar personuppgifter i fler länder än i Sverige uppstår ofta frågan vilket lands integritetsskyddslagstiftning som gäller. På den här sidan får du veta mer om hur och när den svenska personuppgiftslagen gäller i olika gränsöverskridande sammanhang.

Gemensamma regler i EES-området

Den svenska personuppgiftslagen bygger på gemensamma regler som har beslutats inom EU, det så kallade dataskyddsdirektivet från 1995. Dataskyddsdirektivet har genomförts i alla länder inom EES-området, det vill säga alla EU:s medlemsländer samt Norge, Island och Liechtenstein, och dessa länder har alltså liknande skyddslagar som Sverige. I personuppgiftslagen framgår vilket lands dataskyddslagstiftning som ska gälla vid olika situationer. Reglerna bygger på två logiska grunder från det ursprungliga direktivet:

  • att undvika luckor i gemenskapens dataskyddssystem och se till att det inte är möjligt att kringgå lagstiftningen,
  • att undvika möjligheten att en och samma databehandling kan styras av lagstiftning i mer än ett EES-land.

När gäller den svenska personuppgiftslagen?

När det gäller företags och organisationers internationella verksamhet ska personuppgiftslagen tillämpas i följande två fall:

  • när den personuppgiftsansvarige är etablerad i Sverige
  • när den personuppgiftsansvarige är etablerad utanför EES-området, men för behandling av personuppgifter använder sig av utrustning i Sverige.

Personuppgiftsansvarig: den som bestämmer ändamålet och medlen för behandlingen av personuppgifter, till exempel ett företag eller en organisation.
Läs mer om personuppgiftsansvar
Tredje land: en stat som inte ingår i Europeiska unionen (EU) eller är ansluten till Europeiska ekonomiska samarbetsområdet (EES-området), till exempel USA, Kanada och Japan.
Läs mer om tredjelandsöverföringar

1. Personuppgiftslagen gäller för personuppgiftsansvariga som är etablerade i Sverige

Svenska fysiska och juridiska personer och utländska filialer som utövar verksamhet här är också enligt lagens mening etablerade i Sverige. Den svenska personuppgiftslagen gäller då den personuppgiftsbehandling som de utför som ett led i den verksamheten. (Det här gäller oavsett om man behandlar uppgifter om svenska eller utländska medborgare.)

Begreppet "etablerad" är centralt och enligt personuppgiftslagen förutsätter det en "effektiv och faktisk verksamhet med hjälp av en stabil struktur". "Stabil struktur" innebär att verksamheten ska utövas på ett varaktigt sätt men det ställs inga krav på att den personuppgiftsansvarige ska ha sin huvudsakliga verksamhet i Sverige. Därför kan en filial, ett dotterbolag eller ett kontor vara en etablering. Däremot krävs att man använder både mänskliga och tekniska resurser. Om ett företag till exempel endast har en server i Sverige så är kravet på etablering inte uppfyllt eftersom det bara utgör en teknisk resurs.

För internationella företag och organisationer som är etablerade i flera länder kan regeln innebära att personuppgiftslagen gäller för ett moment av personuppgiftsbehandlingen, till exempel insamlandet, medan ett annat lands lagstiftning gäller för ett annat moment, till exempel bearbetandet.

2. Personuppgiftslagen tillämpas när den personuppgiftsansvarige är etablerad i ett land utanför EU och EES-området men behandlar personuppgifter genom att använda sig av utrustning i Sverige

Det faktum att den personuppgiftsansvarige är etablerad i ett så kallat tredje land får med andra ord inte utgöra ett hinder för att människor får ett bra integritetsskydd. Det här gäller endast när den personuppgiftsansvarige inte har någon etablering inom EU och EES som medför att behandlingen omfattas av EES-områdets dataskyddslagstiftning. Bestämmelsen är alltså till för att "täcka upp" integritetsskyddet i de fall då behandlingen normalt inte omfattas av det ursprungliga EG-direktivets regler/intentioner.)

Utrustningen i det här fallet kan vara automatiserad eller icke-automatiserad, exempelvis datacentrum, persondatorer, terminaler och servrar. Tänk på att även cookies och andra liknande funktioner betraktas som utrustning.

För att personuppgiftslagen ska gälla krävs att utrustningen i Sverige används i syfte att behandla personuppgifter. Det krävs med andra ord ett agerande och en avsikt från den personuppgiftsansvarige. Utrustningen ska stå till den personuppgiftsansvariges förfogande men det är inte nödvändigt att denne har full kontroll över eller äger utrustningen. Däremot ska den personuppgiftsansvarige bestämma vilka uppgifter som ska behandlas, på vilket sätt och för vilket ändamål. Detta innebär att utrustning som endast används för att låta uppgifter passera genom Sverige inte omfattas av personuppgiftslagens bestämmelser. Sådan utrustning kan exempelvis vara telekomnätverk (kablar) eller posttjänster som endast används för att se till att informationen når fram till ett tredje land.

3. Personuppgiftslagen gäller inte när den personuppgiftsansvarige är etablerad och behandlar personuppgifter i ett annat land i EES-området

Följaktligen gäller inte den svenska personuppgiftslagen när till exempel ett företag som är etablerat i ett annat EES-land behandlar personuppgifter. Då gäller det landets dataskyddslagstiftning.

Läs frågor och svar om personuppgiftslagen och internationell verksamhet

Personuppgiftslagen

Mer information

Frågor och svar om internationell verksamhet

Här har vi sammanställt några frågor och svar om vad som gäller när företag eller andra organisationer bedriver verksamhet och behandlar personuppgifter i fler länder än i Sverige.

Frågor och svar om tredjelandsöverföring

Ett tredje land är ett land som inte är medlem i EU eller EES.

Internationellt arbete

Läs mer om hur Datainspektionen arbetar med internationella frågor inom EU och övriga världen.