Frequently Asked Questions

Dataskyddsförordningen skiljer mellan två huvudroller: personuppgiftsansvariga och personuppgiftsbiträde. Denna åtskillnad är avgörande eftersom den personuppgiftsansvarige har ett större ansvar och måste fullgöra fler skyldigheter än personuppgiftsbiträdet.

Personuppgiftsansvariga och personuppgiftsbiträden kan vara fysiska eller juridiska personer, till exempel ett litet eller medelstort företag, en offentlig myndighet, en organisation, ett statligt organ, en sammanslutning osv.

En personuppgiftsansvarig bestämmer ändamålen och medlen för en behandling. Med andra ord bestämmer den personuppgiftsansvarige hur och varför en behandling sker. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning. Behandling som utförs av personuppgiftsbiträden måste regleras genom ett avtal med den personuppgiftsansvarige eller genom annan rättsakt.

Exempel på personuppgiftsansvariga:

• företag som behandlar sina kunders personuppgifter för att slutföra en försäljning;
• finansinstitut som behandlar sina kunders personuppgifter.
• sammanslutningar som behandlar sina medlemmars personuppgifter.
• skolor eller universitet som behandlar personuppgifter om studenter och lärare.
• sjukhus som behandlar sina patienters personuppgifter.
• myndigheter som behandlar medborgarnas personuppgifter.

Exempel på personuppgiftsbiträden:

• ett litet eller medelstort företag anlitar en bokföringstjänst för att föra sina räkenskaper och register, SME-företaget är personuppgiftsansvarig och bokföringstjänsten är personuppgiftsbiträde.
• ett löneföretag behandlar personuppgifter för ett SME-företag. Löneföretaget kommer att fungera som personuppgiftsbiträde om det enbart behandlar personuppgifterna för SME-företagets räkning. SME-företaget bestämmer ändamålen och medlen för databehandlingen och är därför personuppgiftsansvarigt.
• ett SME-företag ger ett marknadsföringsföretag i uppdrag att samla in e-postadresser via tredje parts webbplatser.  Marknadsföringsföretaget gör detta enligt de uttryckliga instruktionerna från SME-företaget och uteslutande för SME-företagets syften. Marknadsföringsföretaget fungerar som personuppgiftsbiträde för denna behandling av personuppgifter.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Vissa typer av personuppgifter, så kallade känsliga personuppgifter,  utgör särskilda kategorier av personuppgifter som förtjänar mer skydd. Känsliga personuppgifter inkluderar uppgifter som avslöjar information om:

• en individs hälsa
• en persons sexuella läggning
• en persons ras eller etniska ursprung
• en persons politiska åsikter, religiösa eller filosofiska övertygelser, en individs fackföreningsmedlemskap
• en individs biometriska och genetiska data

Behandling av en enskilds känsliga personuppgifter är i allmänhet förbjuden, utom under särskilda omständigheter som motiverar behandlingen.

Mer information:

• Grunderna för dataskydd

Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.

Mer information:

• Dataskyddsombud

The archived documents adopted by the Article 29 Working Party (1997-2016) are available on the website of the European Commission here: WP29 archive.

Should you experience any difficulty accessing WP29 documents, we recommend contacting the European Commission's DG Justice. The European Commission provided the Secretariat for the Article 29 Working Party and was responsible for all its publications. 

You can contact them by filling out the following form

Every organisation, regardless of the their size or sector, established in the European Economic Area (EEA) or offering products or services to individuals in the EEA, processing personal data whether or not by automated means needs to comply with the GDPR. The GDPR applies to the automated processing of personal data and to processing operations carried out manually from the moment the paper files are organised in a systematic manner, e.g. ordered alphabetically in a filing cabinet.

Examples of processing operations include collecting, recording, organising, using, modifying, storing, disclosing, altering and erasing individuals’ personal data.

Nevertheless, the application of the GDPR is modulated according to the nature, context, purposes and risks of the processing operations carried out. For SMEs whose core business is not the processing of personal data, the obligations can be less strict than for a large company.

Once a public consultation is closed, all contributions to the public consultation are reviewed and, where necessary, the guidelines may be adapted. Once this process has been completed, the guidelines will be up for final adoption at a subsequent EDPB plenary.

Med personuppgifter avses all information som rör en identifierad eller identifierbar person. En identifierbar person är alla som kan identifieras, antingen direkt eller indirekt. Även olika uppgifter som genom att läggas ihop kan leda till identifiering av en viss person utgör personuppgifter.

Exempel på personuppgifter är:

• för- och efternamn
• en hemadress
• en e-postadress
• ett ID-kortnummer.
• lokaliseringsuppgifter
• en IP-adress (Internet Protocol)
• ett cookie-ID
• bankkonton
• skatterapporter
• biometriska uppgifter (som fingeravtryck)
• ett personnummer
• passnummer
• testresultat
• skolbetyg
• webbhistorik
• fotografi av enskilda personer
• fordones registreringsnummer etc

Mer information:

• Grunderna i dataskydd

All comments submitted are screened and reviewed manually before being displayed on our website. There should have been a visual confirmation after submitting your comments on our website.

In any case, please allow for some time before your comments are published.

The GDPR puts in place clear procedures in case of a data breach. If a data breach poses a risk, companies and organisations holding your data have to inform the relevant data protection authority within 72 hours or without undue further delay. If the leak poses a high risk to you, then you must also be informed personally.

For more information on data breaches, please consult the EDPB Data Protection Guide for small business.

We are constantly working on the translation of our documents into the official EU languages.
All static content, as well as press releases and documents officially adopted by the Board, such as Guidelines, will be made available in these languages.

This process takes time and various steps need to be completed in order to provide translations of the best quality.

Please note that documents undergoing public consultation are usually not translated. It is only after the public consultation has been concluded and a final version of the document has been adopted by the Board that these documents will be translated.

Certification bodies are accredited by the national data protection authorities (DPA) or by the national accreditation body (named in accordance with Regulation 17065/2012). For further information regarding certification bodies, we recommend contacting the national DPA in your country. You can find an overview of all EEA DPAs here.

You can find further information regarding accreditation of certification bodies here: Guidelines 4/2018 on the accreditation of certification bodies under Article 43 of the General Data Protection Regulation (2016/679)

1. Se till att de uppgifter som ni fått har samlats in på ett lagenligt sätt och att de berörda personerna har informerats om behandlingen av deras personuppgifter.
2. Om en tredje part behandlar personuppgifter för er räkning, se till att ni har ett personuppgiftsbiträdesavtal, som beskriver behandlingen och sättet att behandla personuppgifter.

Och naturligtvis, uppfyll alla skyldigheter som åligger personuppgiftsansvariga.

Mer information:

• Personuppgiftsansvarig eller personuppgiftsbiträde

Nödvändiga säkerhetsåtgärder kan skilja sig åt beroende på vilken typ av personuppgifter ni behandlar och vilka risker för enskilda som är  förknippade med det. I vilket fall som helst finns det några minimiåtgärder ni bör vidta:

• säkerhet ifråga om tillgång till lokaler;
• använd regelbundet uppdaterade antivirusprogram;
• omsorgsfullt val av lösenord;
• kräv att användarna  autentiserar sig innan de använder verksamhetens datorer;
• ha rutiner för säkerhetskopiering och återställning av data på plats i händelse av en incident.

Dessutom, några grundläggande åtgärder som att låsa skärmen medan man är borta från datorn och att låsa dörrarna in till kontoret i slutet av arbetsdagen är aldrig fel…

Mer information:

• Säkra personuppgifter

Att publicera namnen på vinnarna i en tävling på er webbplats kan betraktas som ett berättigat intresse, om ni kan bevisa detta genom att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än individens rättigheter.

En god praxis skulle vara att inrätta ett internt förfarande där reglerna för offentliggörande av vinnarnas personuppgifter förklaras.

Dessutom bör behandlingen av personuppgifter för dessa ändamål ingå i tävlingens integritetspolicy, så att deltagarna i förväg informeras om hur deras uppgifter kommer att behandlas.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

All documents adopted during the EDPB Plenary are subject to the necessary legal, linguistic and formatting checks and will be made available on the EDPB website once these have been completed.

Once published, recently adopted documents will be listed under “latest publications” on the main page of this website.

You can also find overviews of the documents adopted per plenary on the EDPB news page.

Dataskyddsstyrelsen tillhandahåller inte skräddarsydd juridisk rådgivning till medborgare eller privata/offentliga organisationer om hur dataskyddslagstiftningen ska tillämpas i specifika fall. 

Dataskyddsstyrelsens huvuduppgift är att utfärda allmänna riktlinjer och yttranden. Alla antagna riktlinjer och yttranden finns här: Riktlinjer, rekommendationer, bästa praxis och yttranden. Vi rekommenderar också att du läser dataskyddsguiden för småföretag. Den här guiden hjälper dig att förstå viktiga dataskyddskoncept, individers rättigheter enligt GDPR, efterlevnadskrav, säkerhetsåtgärder och hur man hanterar dataöverträdelser.

Ytterligare information om Europeiska dataskyddsstyrelsens roll och tillämpningen av den allmänna dataskyddsförordningen finns också här: Frequently Asked Questions.

Vi uppmanar dig också att besöka dataskyddsmyndighetens webbplatser i ditt land. Länkarna till våra medlemmars webbplatser finns här: Our members. 

Once the Lead Supervisory Authority (LSA) or, in some cases the Concerned Supervisory Authority (CSA), with which the complaint was lodged has notified the EDPB of the date its final decision was communicated to the controller or processor and, where relevant, to the complainant, the EDPB will publish its own decision on its website.

The European Data Protection Board (EDPB) is an independent European body, which contributes to the consistent application of data protection rules throughout the European Union, and promotes cooperation between the EU’s data protection authorities (DPAs), as well as the DPAs of Iceland, Liechtenstein and Norway (the European Economic Area or EEA).

The EDPB aims to ensure the consistent application of the General Data Protection Regulation and of the Law Enforcement Directive in the European Economic Area (EEA). The EDPB also looks into the application of certain aspects of the ePrivacy Directive.

Our main tasks and duties are:

• providing general guidance (including guidelines, recommendations and best practices) to clarify the law and to promote a common understanding of EU data protection laws;
• adopting opinions addressed to the European Commission or to the national Data Protection Authorities (DPAs):
  • to advise the European Commission on any issue related to the protection of personal data and newly proposed legislation in the European Union (Art. 70 GDPR). In some instances, we issue Joint Opinions together with the EDPS (Art.42 of Regulation 2018/1725);
  • to ensure consistency of the activities of national data protection authorities (DPAs) on cross-border matters (Art. 64 GDPR). If authorities fail to respect an opinion issued by the EDPB, we may adopt a binding decision;
• adopting binding decisions addressed to the national DPAs and aiming to settle disputes between them when they cooperate in cross-border cases, with the purpose of ensuring the correct and consistent application of the GDPR in individual cases;
• promoting and supporting the cooperation among national DPAs.

Ja, det kan ni, men dataskyddsförordningen ställer upp vissa skyldigheter för företag som delar personuppgifter. Er organisation måste informera enskilda personer om att ni kommer att dela deras data med en tredje part. Ni måste också informera dem om era syften, säkerhet, åtkomst och de lagringsåtgärder som kommer att gälla.