meny

Vad räknas som en gränsöverskridande personuppgiftsbehandling?

En gränsöverskridande personuppgiftsbehandling har anknytning till fler än en medlemsstat, för att ni som personuppgiftsansvarig eller personuppgiftsbiträde gör något av följande:

  • behandlar personuppgifter inom ramen för verksamhet vid verksamhetsställen i fler än en medlemsstat
  • behandlar personuppgifter vid ett enda verksamhetsställe men som i väsentlig grad påverkar eller sannolikt kommer att påverka registrerade i fler än en medlemsstat.

Ni ska alltså bedöma om de registrerade kommer att påverkas i väsentlig grad av er personuppgiftsbehandling eller om det är troligt att de kommer att påverkas i väsentlig grad. För att kunna avgöra det ska ni väga in vilken typ av uppgifter personuppgiftsbehandlingen omfattar, ändamålet och om den kommer att

  • orsaka skada, förlust eller känslomässigt lidande för enskilda personer
  • påverka den enskilda personen så att personens rättigheter begränsas eller den enskilda personen förlorar en möjlighet
  • påverka den enskilda personens hälsa, välbefinnande eller trygghet
  • påverka den enskilda personens finansiella eller ekonomiska ställning eller situation,
  • utsätta den enskilda personen för diskriminering eller orättvis behandling
  • omfatta analys av känsliga personuppgifter eller andra inkräktande uppgifter, särskilt barns personuppgifter
  • leda till att den registrerade personen ändrar sitt beteende på ett väsentligt sätt
  • leda till osannolika, oväntade eller oönskade konsekvenser för den enskilda personen
  • ge upphov till pinsamma situationer eller andra negativa resultat, även skadat anseende
  • innebär behandling av en stor mängd personuppgifter.

Exempel på gränsöverskridande behandling:

  • Ni har verksamhet både i Sverige och Slovakien och behandlar personuppgifter inom ramen för båda verksamheterna.
  • Ni har endast verksamhet i Sverige men er personuppgiftsbehandling påverkar registrerade i både Sverige och Slovakien.