Du är här:Hem → Personuppgiftsombud → Samrådsyttranden → Tillämpas PuL då personuppgifter behandlas i Danmark och Norge?

Tillämpas PuL då personuppgifter behandlas i Danmark och Norge?

Övrigt

Fråga:

Ett företag har bett mig att som ombud för bolaget (tillika personuppgiftsombud enligt personuppgiftslagen) tillskriva Datainspektionen i rubricerad fråga.

Företaget bedriver normalt forskningsverksamhet i Norden med det svenska företaget som "sponsor" eller ansvarig för de kliniska prövningar som genomförs i Norden. Detta gäller även om det i respektive nordiskt land återfinns ett koncernbolag (juridisk person) som deltar i de kliniska prövningar som genomförs. Inte sällan kan sådana förhållanden råda att t ex koncernbolaget i Danmark genomför projekten i Danmark med det svenska företaget som huvudansvarigt. En sådan projektorganisation leder till att projektet skall underställas etisk prövning i Danmark.

Företaget i Danmark och Norge har tillskrivit sina respektive tillsynsmyndigheter för att få klarlagt vilket lands personuppgiftslag som skall tillämpas i de aktuella situationerna. Såväl den danska som den norska tillsynsmyndigheten har i skrivelser klarlagt att det svenska företaget enligt deras bedömning är att anse som personuppgiftsansvarigt och att den svenska personuppgiftslagen skall följas (dock att regler om säkerhet i dansk respektive norsk lag gäller).

Till följd av att företaget önskar fråga utredd och skriftligen kommenterad även av svensk myndighet på området, ombeds Datainspektionen därför att skriftligen kommentera frågan om tillämplig lagstiftning.

Svar:

Med anledning av Er begäran om samråd lämnar Datainspektionen följande vägledning.

Den svenska personuppgiftslagen (PuL) gäller enligt 4 § första stycket för sådana personuppgiftsansvariga som är etablerade i Sverige. Etablering förutsätter en "effektiv och faktisk verksamhet med hjälp av en stabil struktur". Den berörda verksamhetens rättsliga form är inte avgörande. Det kan vara fråga om en filial eller ett dotterbolag som är en juridisk person. Svenska juridiska och fysiska personer och utländska filialer som utövar verksamhet i Sverige torde utan vidare anses etablerade här.

Är den personuppgiftsansvarige etablerad inom EU och EES bara i Sverige, skall personuppgiftslagen tillämpas på all verksamhet som den personuppgiftsansvarige bedriver inom EU och EES, men förmodligen inte på verksamhet som bedrivs utanför det området.

Är den personuppgiftsansvarige etablerad såväl i Sverige som i någon eller några andra medlemsstater inom EU eller EES tillämpas personuppgiftslagen på den verksamhet som bedrivs i Sverige, men inte på verksamhet som bedrivs i annan medlemsstat där den personuppgiftsansvarige är etablerad. I EG-direktivet ges ingen närmare vägledning för bedömningen av var en verksamhet skall anses bedriven.

Personuppgiftsansvarig är den som själv eller tillsammans med andra bestämmer ändamålen med och medlen för behandlingen. Hur behandlingen av personuppgifterna har ordnats inom exempelvis en koncern varierar. Det kan vara moderbolaget ensamt som bestämmer över personuppgiftsbehandlingen och därmed är personuppgiftsansvarigt trots att verksamhet bedrivs i flera länder. De andra juridiska personerna är då personuppgiftsbiträden när de hanterar personuppgifterna. Ett dotterbolag kan ha ensamt personuppgiftsansvar för en viss behandling liksom flera bolag inom samma koncern kan vara gemensamt ansvariga. Även en uppdragstagare med befogenhet att självständigt eller tillsammans med den som lämnade uppdraget bestämma över ändamålen och hur behandlingen skall ske kan vara personuppgiftsansvarig. Vid kliniska prövningar brukar "sponsor" som regel betraktas som personuppgiftsansvarig. Det är dock alltid de faktiska omständigheterna i det enskilda fallet som är avgörande för frågan om vem eller vilka som är personuppgiftsansvarig/a för en viss behandling. Om förhållandena är sådana att det aktuella företaget enligt ovan är personuppgiftsansvarigt är den svenska personuppgiftslagen tillämplig på den behandling som företaget ansvarar för oavsett om den utförs i Sverige, Danmark eller Norge.

Om det svenska bolaget är personuppgiftsansvarigt blir medhjälparna i Danmark och Norge att betrakta som personuppgiftsbiträden. Enligt 30 § personuppgiftslagen skall det finnas ett skriftligt avtal om personuppgiftsbiträdets behandling av personuppgifter för den personuppgiftsansvariges räkning. I avtalet skall särskilt föreskrivas att personuppgiftsbiträdet endast får handla på instruktioner från den personuppgiftsansvarige och att biträdet bland annat är skyldigt att vidta de säkerhetsåtgärder som krävs för att skydda personuppgifterna. När det gäller skyldigheten att vidta lämpliga säkerhetsåtgärder skall personuppgiftsbiträdet uppfylla de krav som ställs i lagstiftningen i den stat där biträdet är etablerat. (EG-direktivet artikel 17.3)

(Juni 2002)

Samrådsyttranden
Ett personuppgiftsombud kan fråga Datainspektionen om råd när han eller hon är osäker på vilka regler som gäller för hur personuppgifter ska behandlas eller hur de ska användas. På de här sidorna har vi samlat en del av dessa samrådsfrågor och -svar som kan vara av allmänt intresse.

Till listan med samrådsyttranden

Frågor & svar

För dig som vill veta mer har Datainspektionen sammanställt en mängd vanliga frågor och svar om personuppgiftslagen och andra områden.