Dette afsnit giver et overblik over, hvilke situationer der som udgangspunkt er omfattet af databeskyttelsesforordningen, og hvilke situationer der typisk er undtaget.
Databeskyttelsesforordningen gælder:
- Når borgeres oplysninger bliver behandlet: Databeskyttelsesforordningen gælder, når offentlige myndigheder, private virksomheder, foreninger o.l. behandler oplysninger om fysiske personer. Begrebet ”fysisk person” omfatter også enkeltmandsvirksomheder, da det i praksis ikke er muligt at skelne mellem oplysninger om ejeren som individ og oplysninger om virksomheden.
- Når oplysningerne bliver behandlet automatisk eller bliver opført i et register: Når personoplysninger bruges på en måde, som gør dem let og hurtigt søgbare, vil de typisk være omfattet af databeskyttelsesforordningen. Det betyder, at forordningen gælder, når personoplysninger bliver behandlet helt eller delvist automatisk, eller når oplysningerne bliver opført i et register.
- Når det vedrører danske forhold: I langt de fleste tilfælde vil en behandling af personoplysninger, som foregår i Danmark, være omfattet af den danske lovgivning, dvs. forordningen og eventuelle relevante danske særregler. I Danmark gælder databeskyttelsesforordningen således som hovedregel, hvis den dataansvarlige myndighed eller virksomhed er etableret i Danmark, og behandlingen af personoplysningerne foregår inden for EU’s område.
Den gælder også, hvis der foretages behandling af oplysninger om personer, der befinder sig i Danmark, hvis behandlingen vedrører udbud af varer eller tjenester til personer, der befinder sig i Danmark, eller der foretages overvågning af personers adfærd i Danmark. Der kan dog være situationer, hvor den dataansvarlige er etableret i et andet EU-land. I så fald vil det være lovgivningen i dette land, der gælder. Det betyder f.eks., at Facebooks aktiviteter er reguleret af irsk lovgivning, fordi Facebook har sit europæiske domicil i Irland.
Databeskyttelsesforordningen gælder ikke:
- Når virksomheders eller myndigheders oplysninger bliver behandlet: Modsat enkeltmandsvirksomheder er oplysninger om andre typer af virksomheder ikke beskyttet af databeskyttelsesforordningen. Oplysninger om myndigheder er heller ikke beskyttet af forordningen.
- Når formålet med behandlingen af oplysninger vedrører f.eks. strafferet eller statens sikkerhed: Behandling af personoplysninger med henblik på aktiviteter, der falder uden for EU-retten mv., som f.eks. statens sikkerhed, er ikke omfattet af forordningen. Det samme er tilfældet, når myndigheder behandler personoplysninger inden for det strafferetlige område. I sidstnævnte tilfælde finder Europa-Parlamentets og Rådets direktiv (EU) 2016/680 (retshåndhævelsesdirektivet) anvendelse. Direktivet er gennemført i dansk ret ved lov nr. 410 af 27. april 2017.
- Når borgere behandler oplysninger som led i private aktiviteter: Privatpersoners behandling af personoplysninger er i mange tilfælde helt undtaget fra forordningen, hvis de ikke har forbindelse med en erhvervsmæssig eller kommerciel aktivitet. Forordningen gælder således ikke for behandling af personoplysninger, som foretages af en fysisk person som led i rent personlige eller familiemæssige aktiviteter. Sådanne aktiviteter kan omfatte korrespondance og føring af en adressefortegnelse og i et vist omfang også aktiviteter på sociale netværk og på nettet generelt.