Gränsöverskridande behandling

    När en behandling av personuppgifter har berör mer än en medlemstat i EU, kallas detta för gränsöverskridande behandling.

    Innebörden av gränsöverskridande behandling är definierad i GDPR som antingen:

    • behandling av personuppgifter som äger rum inom ramen för verksamhet vid verksamhetsställen i mer än en medlemsstat tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen, när den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad i mer än en medlemsstat, eller
    • behandling av personuppgifter som äger rum inom ramen för verksamhet vid ett enda verksamhetsställe tillhörande en personuppgiftsansvarig eller ett personuppgiftsbiträde i unionen men som i väsentlig grad påverkar eller sannolikt i väsentlig grad kommer att påverka registrerade i mer än en medlemsstat.


    När ni rapporterar in en personuppgiftsincident enligt art. 33 är en av de första frågorna att ta ställning till om incidenten är gränsöverskridande eller inte.