European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Hvem er behandlingsansvarlig og hvem er databehandler?

GDPR skiller mellom to hovedroller: de som er behandlingsansvarlige og databehandlere. Dette skillet er avgjørende ettersom den behandlingsansvarlige har mer ansvar og må oppfylle flere forpliktelser enn databehandleren.

Behandlingsansvarlige og databehandlere kan være fysiske eller juridiske personer, for eksempel: en SMB, en offentlig myndighet, et selskap, en organisasjon, et statlig organ, en forening etc.

En behandlingsansvarlig bestemmer formålene og midlene for en behandlingsaktivitet. Med andre ord, den behandlingsansvarlige bestemmer alle «hvordan» og «hvorfor» til behandlingsaktiviteter. Databehandlere behandler personopplysninger på vegne av den behandlingsansvarlige. Behandlingen som utføres av databehandlere må reguleres av en avtale med den behandlingsansvarlige eller annen juridisk bindende kontrakt.

Eksempler på behandlingsansvarlige:

  • selskaper som behandler personopplysningene til sine kunder for å gjennomføre salg;
  • finansinstitusjoner som behandler personopplysninger om sine kunder;
  • foreninger som behandler personopplysninger om sine medlemmer;
  • skoler eller universiteter som behandler personopplysninger om elever og lærere;
  • sykehus som behandler personopplysninger om sine pasienter;
  • offentlige etater som behandler personopplysninger om innbyggere.

Eksempler på databehandlere:

  • en SMB ansetter en regnskapsførertjeneste for å oppbevare registre, SMBen er behandlingsansvarlig og regnskapsførertjenesten er en databehandler,
  • et lønningsselskap behandler personopplysninger for en SMB. Lønnsselskapet vil fungere som databehandler dersom det utelukkende behandler personopplysningene på vegne av SMBen. SMBen bestemmer formålene og midlene for databehandlingen, og er derfor behandlingsansvarlig.
  • en SMB beordrer et markedsføringsselskap til å samle inn e-postadresser via tredjeparts nettsteder.  Markedsføringsselskapet gjør dette i henhold til de uttrykkelige instruksjonene fra SMBen og for SMBens spesifikke formål. Markedsføringsselskapet fungerer som databehandler for denne innsamlingen.

Mer informasjon:

Hva er sensitive personopplysninger?

Noen typer personopplysninger tilhører særlige kategorier av personopplysninger, noe som betyr at de fortjener mer beskyttelse, såkalte sensitive personopplysninger. Dette inkluderer opplysninger som sier noe om individets:

  • helse;
  • seksuelle orientering;
  • rasemessig eller etniske opprinnelse;
  • politiske oppfatning, religion eller filosofiske overbevisninger; fagforeningsmedlemskap,
  • biometriske og genetiske opplysninger.

Behandling av en sensitive personopplysninger er generelt forbudt, bortsett fra under bestemte omstendigheter som rettferdiggjør behandlingen.

Mer informasjon:

Hvem kan utføre rollen som personvernombud (PVO)?

PVO kan være en eksisterende ansatt med tilstrekkelig kunnskap om GDPR (hvis de faglige oppgavene til den ansatte er forenlige med rollen som PVO og dette ikke fører til interessekonflikter) eller en ekstern person. PVO bør kunne utføre oppgaver selvstendig og bør kunne rapportere direkte til den øverste ledelsen.

Mer informasjon:

Where can I find documents adopted by the Article 29 Working Party?

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Does the GDPR apply to my organisation?

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

What happens after a public consultation is closed?

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Hva er personopplysninger?

Personopplysninger betyr all informasjon knyttet til en identifisert eller identifiserbar fysisk person. En identifiserbar person er alle som kan identifiseres, enten direkte eller indirekte. Ulike opplysninger som til sammen kan føre til identifisering av en bestemt person, utgjør også personopplysninger.

Eksempler på personopplysninger er:

  • navn og etternavn;
  • hjemmeadresse;
  • e-postadresse;
  • et ID-kortnummer;
  • stedsdata;
  • IP-adresse (Internet Protocol)
  • en informasjonskapsel-ID;
  • bankkonto;
  • skatterapporter;
  • biometriske data (som fingeravtrykk);
  • personnummer;
  • passnummer;
  • testresultater,
  • karakterer fra skolen;
  • internettlogg;
  • bilder av enkeltindivider;
  • kjøretøyets registreringsnummer mv.

Mer informasjon:

I submitted feedback to a public consultation, but I cannot see my comments on the public consultation page. How do I know that my feedback was received by the EDPB?

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

Do you think your data has been lost or stolen?

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

Are EDPB documents available in all EU languages?

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

My organisation would like to become a certification body, how can we become accredited?

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

Som behandlingsansvarlig har jeg samlet inn personopplysninger fra en tredjepart, hva må jeg gjøre for å sikre etterlevelse?

  1. Forsikre deg om at dataene du har mottatt ble innhentet legitimt, og at de berørte personene har blitt informert om behandlingen av deres personopplysninger.
  2. I tilfelle en tredjepart behandler personopplysninger på dine vegne, må du sørge for at du har en databehandleravtale, som beskriver behandlingsaktivitetene og midler til å behandle personopplysninger.

Og selvfølgelig, overholde alle forpliktelsene til behandlingsansvarlige.

Mer informasjon:

Hvordan kan jeg vite hvilke sikkerhetstiltak jeg må innføre?

De nødvendige sikkerhetstiltakene kan variere basert på kategorien av personopplysninger du behandler og de tilknyttede risikoene for berørte personer. Det er uansett noen minimumstiltak du bør innføre:

  • sikker tilgang til lokalene;
  • bruke regelmessig oppdatert antivirusprogramvare;
  • velg passordene dine nøye;
  • få brukerne til å autentisere seg selv før de bruker datamaskiner;
  • ha rutiner for backup og gjenopprettelse av data.

I tillegg er det nyttig med noen grunnleggende tiltak som å låse skjermen mens man er borte og låse kontoret på slutten av dagen.

Mer informasjon:

Kan jeg publisere navnene på vinnerne av en konkurranse på virksomhetens hjemmeside?

Publisering av navnene på vinnerne av en konkurranse på nettstedet ditt kan betraktes som en legitim interesse, hvis du kan bevise dette ved å gjennomføre en interesseavveining for å avgjøre om dine legitime interesser veier tyngre enn den enkeltes personvern.

En god praksis vil være å sette opp en intern prosedyre som forklarer rutinene for publisering av personopplysninger om vinnere.

I tillegg bør publiseringen for disse formålene forklares i konkurransens retningslinjer for personvern, slik at deltakerne på forhånd blir informert om hvordan personopplysningene deres skal behandles.

Mer informasjon:

Where can I find documents that were adopted during a recent/the latest EDPB plenary?

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Are you asking tailored advice on how to interpret or apply data protection rules in your specific situation?

The EDPB does not provide tailored legal advice to citizens or private/public organisations on how to apply data protection law to specific cases. 

The EDPB’s main role is to issue general guidance and opinions. All adopted guidance and opinions can be consulted here: Guidelines, Recommendations, Best Practices and Opinions. We also recommend reading the Data Protection Guide for Small Business. This guide will help you understand key data protection concepts, the rights of individuals under the GDPR, compliance requirements, security measures, and how to handle data breaches.

Additional information on the EDPB's role and the application of the GDPR, can also be found here: Frequently Asked Questions.

We also invite you to consult the websites of the data protection authority in your country. The links to the websites of our Members can be found here: Our members.

When will the EDPB’s decision be published in those cases where it settles conflicting views on a draft decision or where it decides on the Lead Supervisory Authority (LSA)?

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

What is the EDPB?

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

What does the EDPB do?

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

  • providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
  • adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
    • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
    • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
  • adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
  • promoting and supporting the cooperation among national DPAs.

Kan jeg dele en liste over enkeltpersoners personopplysninger med mine forretningspartnere (tredjeparter)?

Ja, det kan du, men GDPR legger visse forpliktelser til bedrifter som deler personopplysninger. Virksomheten din må informere enkeltpersoner om at du vil utlevere personopplysningene deres med en tredjepart. Du må også informere dem om formål, sikkerhet, tilgang og oppbevaringsrutiner som vil gjelde.