För vilka gäller GDPR?

Förordningen omfattar i princip all behandling av personuppgifter som sker i företag, i föreningar, inom myndigheter och av privatpersoner. Det finns dock undantag:

  • Personuppgiftsbehandling som sker av en privatperson för rent personligt bruk,
  • Personuppgiftsbehandling som sker i verksamhet som inte omfattas av EU-rätten (till exempel försvar och nationell säkerhet)
  • Personuppgiftsbehandling som sker i brottsbekämpande verksamhet, som exempelvis polisen

Förordningen gäller för de personuppgiftsansvariga som är etablerade i EU. Den gäller också för personuppgiftsansvariga som är etablerade utanför EU i vissa fall, nämligen om de behandlar personuppgifter i samband med att de erbjuder varor och tjänster till personer i EU eller behandlar personuppgifter i samband med övervakning av människors beteende i EU. Med det sistnämnda avses till exempel att man spårar enskilda personers beteende på internet för att skapa kundprofiler eller liknande.