European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

How can my processing operations or my organisation become GDPR certified?

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

I think my data protection rights have been violated, what can I do?

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

How can I apply for the European Data Protection Seal?

Controllers should formally submit their EU-wide certification criteria to:

  1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
  2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Bør jeg utnevne et personvernombud (PVO)?

Utnevnelsen av et PVO er obligatorisk i følgende tre tilfeller:

  • virksomheten er en offentlig myndighet;
  • virksomhetens kjernevirksomhet består av regelmessig og systematisk overvåking av enkeltpersoner i stor skala, for eksempel geolokasjon via en mobil applikasjon, eller overvåking av kjøpesentre og offentlige rom gjennom CCTV;
  • virksomhetens kjernevirksomhet består av storskala behandling av sensitive opplysninger eller personopplysninger knyttet til straffedommer og lovbrudd.

Du kan alltid utnevne et PVOpå frivillig basis, selv om dette ikke er lovpålagt. Vær oppmerksom på at du i så fall må overholde alle bestemmelsene i GDPR om oppgavene og stillingen til personvernombudet.

Mer informasjon:

Er jeg pålagt å offentliggjøre protokoll over behandlingsaktiviteter?

Nei, det er ikke nødvendig å gjøre protokollen din offentlig. Du må imidlertid kunne gjøre den tilgjengelig for tilsynsmyndigheten på forespørsel.

Mer informasjon:

Is your message about enforcing the GDPR or other rules?

Are you asking the EDPB to investigate and take action against an organisation that you consider is infringing EU legislation, including through specific technologies, such as AI, social media, or messaging services?

In the context of data protection rules, you can lodge a complaint with your data protection authority (DPA) (please find a list of them on our website: Our members). Enforcement of data protection rules is the responsibility of the DPAs. You can contact the data protection authority where you live or work, or where the alleged infringement took place, for instance.

Another alternative is to go to national courts where you live or where the controller or processor is established. 

If the GDPR applies in your situation but you're not based in Europe, you can still complain to a DPA in Europe and/or go to court.

The EDPB has no competence to handle specific individual requests or complaints, nor to provide individual consultancy services. The EDPB is not a supranational body that can investigate complaints.

Finally, if you want to complain about how an EU institution, agency or body is using your personal data, you can lodge a complaint with the European Data Protection Supervisor (please see contact details on our website: Our members).

Please note that we do not forward your message to the national DPAs or to the EDPS. Therefore, you should contact them directly.

Hvordan kan jeg innhente gyldig samtykke?

For at samtykke skal anses som gyldig, må det være:

  • frivillig;
  • spesifikt;
  • informert; og
  • utvetydig.

Dette innebærer at de registrerte må ha et reelt fritt valg av om de er enig i behandlingen av sine personopplysninger; at de må få tilstrekkelig informasjon om hvilke opplysninger som behandles, til hvilke formål og med hvilke midler dette gjøres; og at samtykkeforespørselen er tilstrekkelig detaljert.

I tillegg bør det være en aktiv handling fra den registrerte (uten på forhånd avhukede bokser og separat fra avtaleinngåelse eller brukervilkår).

I tillegg må de registrerte være i stand til å trekke tilbake sitt samtykke (uten negative konsekvenser) hvis de ombestemmer seg senere.

Mer informasjon:

Når skal du dele denne informasjonen?

Hvis virksomheten din samler inn personopplysninger direkte fra enkeltpersoner, må den gi den nødvendige informasjonen på tidspunktet for innsamlingen.

Ved indirekte innsamling av personopplysninger må virksomheten din gi opplysningene senest en måned etter at personopplysningene først er innhentet. Denne maksimale perioden på en måned kan reduseres:

  • hvis personopplysningene brukes til kommunikasjon med den registrerte. I så fall må du informere den registrerte senest på tidspunktet for den første kommunikasjonen til den registrerte;
  • hvis personopplysningene overføres til en annen mottaker, informerer virksomheten de registrerte om dette senest når personopplysningene overføres.

Mer informasjon:

What is the purpose of the dispute resolution mechanism of Art. 65.1 (a) and (b) GDPR?

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

How are the EDPB & EDPS related?

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Må virksomheten min etterleve GDPR?

Enhver virksomhet, uavhengig av størrelse eller sektor, som er etablert i Det europeiske økonomiske samarbeidsområdet (EØS) eller som tilbyr produkter eller tjenester til enkeltpersoner i EØS, og behandler personopplysninger, enten automatisert eller ikke, må etterleve GDPR. Selv om GDPR hovedsakelig gjelder helt eller delvis automatisert behandling av personopplysninger, vil behandlingsaktiviteter som utføres manuelt også være underlagt GDPR dersom papirfilene organiseres på en systematisk måte i et register, for eksempel sorteres alfabetisk i et arkivskap.

Eksempler på behandlingsoperasjoner inkluderer innsamling, registrering, organisering, bruk, endring, lagring, utlevering, tilpasning og sletting av enkeltpersoners personopplysninger.

Likevel er anvendelsen av GDPR tilpasset i henhold til arten, konteksten, formålene og risikoen for behandlingsaktivitetene som utføres. For små og mellomstore bedrifter som ikke behandler personopplysninger som del av sin kjernevirksomhet, kan forpliktelsene etter GDPR være mindre strenge enn for et stort selskap.

Mer informasjon:

Hva er oppgavene til personvernombudet (PVO)?

Oppgaven til PVO inkluderer blant annet:

  • å informere og gi råd til virksomheten og de ansatte om etterlevelse av GDPR;
  • å kontrollere etterlevelse av personvern;
  • å gi råd om vurdering av personvernkonsekvenser (DPIA);
  • å fungere som et kontaktpunkt for tilsynsmyndigheten (DPA) og samarbeide med nevnte DPA;
  • å fungere som et kontaktpunkt for enkeltpersoner.

I tillegg er DPOs tilstedeværelse generelt anbefalt der det tas beslutninger med konsekvenser for personvern. DPO bør også umiddelbart konsulteres når et avvik eller en annen sikkerhetshendelse har funnet sted.

Mer informasjon:

Hva er mitt ansvar i henhold til GDPR?

GDPR pålegger alle organisasjoner som behandler personopplysninger forpliktelser, uavhengig av om de er behandlingsansvarlige eller databehandlere.

Spesielt bør du:

  • Vurdere om formålet med innsamlingen av personopplysninger er berettiget, og bare samleinn personopplysninger som er nødvendige for de(n) bestemte formål;
  • Holde personopplysninger nøyaktige og oppdaterte, og slette opplysningene når de ikke lenger er nødvendig for formålet;
  • Respektere de registrertes rettigheter ved å informere dem om hvordan og hvorfor personopplysningenebehandles, og tilrettelegge for at de kan utøve sine rettigheter;
  • Vurdere om du har et passende rettslig grunnlag for behandling av personopplysninger. Dersom du benytter samtykke som rettslig grunnlag, må dette innhentes før behandlingen starter;
  • Sørge for at de registrertes personopplysninger håndteres på en sikker måte;
  • Opprettholde en protokoll over behandlingsaktiviteter.

Databehandlere må overholde det ansvaret som er fastsatt i den databehandleravtalen, og de må ikke behandle dataene på en annen måte enn i henhold til den behandlingsansvarliges instruksjoner.

Mer informasjon:

Hva er de grunnleggende prinsippene etter GDPR?

  • Enhver behandling av personopplysninger må være lovlig, rettferdig og åpen.
  • Personopplysninger kan bare samles inn for spesifikke, uttrykkelig angitte og berettigede formål. Behandlingen av personopplysninger må være strengt begrenset til formålene som opprinnelig ble etablert, og kan derfor ikke behandles for andre formål som er uforenlige med de opprinnelige formålene.
  • Man kan bare behandle personopplysninger som er nødvendige og forholdsmessige i lys av de fastsatte formålene.
  • Personopplysninger som behandles må være korrekte og holdes oppdaterte. Unøyaktige personopplysninger må rettes eller slettes.
  • Lagringen av personopplysninger må begrenses i tid, i lys av formålet som disse ble samlet inn og behandlet for. Som sådan må personopplysninger slettes eller anonymiseres når disse dataene ikke lenger er nødvendige.
  • Personopplysninger må behandles på en sikker måte. Det må iverksettes robuste tiltak for cybersikkerhet, for å sikre at personopplysninger er tilstrekkelig beskyttet.

Avslutningsvis er det den behandlingsansvarlige virksomhet som er ansvarlig. Dette innebærer ansvar for å overholde og påvise etterlevelse av prinsippene ovenfor.

Mer informasjon:

Hvor lenge kan jeg lagre personopplysninger?

Du kan ikke lagre personopplysninger for alltid.

Personopplysninger kan som hovedregel bare lagres så lenge det er nødvendig for formålene som personopplysningene behandles for.

I noen tilfeller kan lagringsperioden bestemmes av spesifikke lover.

Virksomheter bør innføre retningslinjer for lagring av personopplysninger for å sikre at personopplysninger ikke lagres lenger enn nødvendig. Personopplysninger må slettes eller anonymiseres når disse ikke lenger er nødvendige for det formålet som de ble behandlet for.

Mer informasjon:

Who are the members of the Board?

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

What is the dispute resolution mechanism of Art. 65 GDPR?

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

  • there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
  • an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

Are you writing because you are unhappy with the way your DPA has handled your request or complaint?

The EDPB does not have the competence to exercise oversight over the DPAs activities at the request of individuals.

Please note that the competence to issue general guidance cannot be understood as a mechanism for the EDPB to exercise oversight on how DPAs handle your individual case.

If you believe that GDPR has been infringed and you are not satisfied with the DPA’s response, the remaining solution is for you to initiate legal proceedings.

Trenger jeg en protokoll over behandlingsaktiviteter?

Generelt sett bør hver organisasjon holde oversikt over sine behandlingsaktiviteter. Dette er en oversikt over alle behandlingsaktiviteter og kan hjelpe deg med å gjøre riktige vurderinger av ditt ansvar etter GDPR og av mulige risikoer.

Hver av disse behandlingsaktivitetene skal beskrives i journalen med følgende opplysninger:

  • formålet med behandlingen (f.eks. kundelojalitet);
  • kategoriene av opplysninger som behandles (f.eks. for lønn: navn, fornavn, fødselsdato, lønn osv.);
  • hvem som har tilgang til opplysningene (mottakerne — f.eks.: avdelingen med ansvar for rekruttering, IT-tjeneste, ledelse, tjenesteleverandører, partnere...);
  • der det er relevant, opplysninger knyttet til overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområde (EØS);
  • der det er mulig, lagringsperioden (perioden som opplysningene er nyttige fra et operativt synspunkt, og fra et arkiveringsperspektiv).
  • der det er mulig, en generell beskrivelse av sikkerhetstiltakene.

Registreringen av behandlingsaktiviteter er underlagt ansvaret til virksomhetens leder.

Denne protokollen må være tilgjengelig på forespørsel fra tilsynsmyndigheten i EØS-landet der du opererer.

Det er ikke nødvendig for virksomheter som har færre enn 250 ansatte å nevne rent sporadiske aktiviteter i sin journal (f.eks. opplysninger behandlet for engangsarrangementer som åpning av en butikk).

 

Mer informasjon:

Hva er en interessekonflikt for et personvernombud (PVO)?

PVO kan utføre andre oppgaver i virksomheten, men dette kan ikke føre til interessekonflikt. Dette innebærer at PVO ikke kan ha en posisjon der de bestemmer formålene og midlene til behandlingsaktivitetene. Motstridende funksjoner omfatter hovedsakelig lederstillinger (direktør, driftssjef, økonomisjef, HR-sjef, teknologisjef, daglig leder), men kan også involvere andre funksjoner hvis de innebærer fastsettelse av formål og metoder for behandling.

PVO må være i stand til å utføre sine oppgaver på en selvstendig måte. Dette betyr at din virksomhet:

  • ikke kan gi instrukser til PVO vedrørende utførelsen av deres -oppgaver;
  • ikke kan straffe eller avvise PVO for å utføre sine oppgaver.

Mer informasjon: