Frequently Asked Questions

Under the GDPR, certification is conducted by national certification bodies or by the competent national data protection authorities (Art. 42(5) GDPR).

For further information, we recommend contacting the relevant national DPA for your organisation. You can find a overview of all EEA DPAs here.

You can find further information regarding certification in the EDPB guidelines on the topic: Guidelines 1/2018 on certification and identifying certification criteria in accordance with Articles 42 and 43 of the Regulation - version adopted after public consultation

If you believe your data protection rights have been violated you can contact the organisation holding your data, contact your national data protection authority (DPA), or go to a national court.

DPAs can conduct investigations and impose sanctions where necessary. You can find the contact details for all EEA DPAs here.

Controllers should formally submit their EU-wide certification criteria to:

1. the competent data protection authority (DPA) in the EEA country where the scheme owners have their headquarters;
2. the competent data protection authority (DPA) in the EEA country where a certification body operating the certification mechanism have their headquarters, considering the member state in which the most certificates are likely to be issued.

Det är obligatoriskt att utse ett dataskyddsombud i följande tre fall:

• organisationen är en offentlig myndighet.
• organisationens kärnverksamhet består av regelbunden och systematisk övervakning av individer i stor skala, t.ex. geolokalisering via en mobil applikation, eller övervakning av köpcentrum och offentliga platser via övervakningskameror.
• organisationens kärnverksamhet består av storskalig behandling av känsliga uppgifter eller personuppgifter som rör fällande domar i brottmål och brott.

Ni kan alltid utse ett uppgiftsskyddsombud på frivillig basis, även om detta inte krävs enligt lag. Observera att i så fall måste ni följa alla bestämmelser i GDPR om dataskyddsombudets uppgifter och ställning.

Mer information:

• Dataskyddsombud

Nej, det är inte nödvändigt att göra ert register över personuppgiftsbehandlingar offentligt. Ni måste dock kunna göra registret tillgängligt för dataskyddsmyndigheten på begäran.

Mer information:

• Uppfyll kraven

Ber du Europeiska dataskyddsstyrelsen att utreda och vidta åtgärder mot en organisation som du anser bryter mot EU-lagstiftningen, bland annat genom särskild teknik, såsom AI, sociala medier eller meddelandetjänster?

Inom ramen för dataskyddsreglerna kan du lämna in ett klagomål till din dataskyddsmyndighet (du hittar en förteckning över dem på vår webbplats: https://edpb.europa.eu/about-edpb/our-members). Dataskyddsmyndigheterna ansvarar för efterlevnaden av dataskyddsreglerna. Du kan kontakta dataskyddsmyndigheten där du bor eller arbetar, eller där den påstådda överträdelsen ägde rum, till exempel.

Ett annat alternativ är att vända sig till nationella domstolar där du bor eller där den personuppgiftsansvarige eller personuppgiftsbiträdet är etablerad. 

Om GDPR gäller i din situation men du inte är baserad i Europa kan du fortfarande klaga till en dataskyddsmyndighet i Europa och/eller gå till domstol.

EDPB har ingen behörighet att hantera specifika enskilda förfrågningar eller klagomål och inte heller att tillhandahålla enskilda konsulttjänster. EDPB är inte ett överstatligt organ som kan utreda klagomål.

Om du vill klaga på hur en EU-institution, en EU-byrå eller ett EU-organ använder dina personuppgifter kan du lämna in ett klagomål till Europeiska datatillsynsmannen (se kontaktuppgifter på vår webbplats: https://edpb.europa.eu/about-edpb/our-members).

Observera att vi inte vidarebefordrar ditt meddelande till de nationella dataskyddsmyndigheterna eller till Europeiska datatillsynsmannen. Därför bör du kontakta dem direkt.

För att samtycket ska anses giltigt måste det vara

• fritt tillhandahållet,
• specifikt,
• informerat, och
• otvetydigt.

Detta innebär att enskilda personer måste ha ett verkligt fritt val när det gäller huruvida de samtycker till behandlingen av deras personuppgifter. De behöver tillräcklig information för att kunna förstå vilka uppgifter som behandlas, för vilket syfte och hur detta görs. En begäran om samtycke måste också vara utformad på tillräcklig detaljnivå.

Dessutom bör det finnas en klar jakande handling från den enskilde (utan förmarkerade rutor och samtycket bör inhämtasseparat från tillämpliga allmänna villkor).

Dessutom måste enskilda personer fritt kunna dra tillbaka sitt samtycke (utan några negativa konsekvenser) om de ändrar sig vid ett senare tillfälle.

Mer information:

• Behandla personuppgifter på ett lagligt sätt

Om er organisation samlar in personuppgifterna direkt från de enskilda personernar måste ni tillhandahålla nödvändig information vid tidpunkten för insamlingen.

Vid indirekt insamling av personuppgifter måste ni lämna informationen senast en månad efter det att personuppgifterna ursprungligen har erhållits. Denna period på högst en månad kan förkortas:

• om personuppgifterna används för kommunikation med den registrerade. I så fall måste ni informera den registrerade senast vid tidpunkten för den första kommunikationen till den registrerade.
• om uppgifterna överförs till en annan mottagare ska organisationen informera de registrerade om detta senast när personuppgifterna överförs.

Mer information:

• Respektera enskildas rättigheter

The dispute resolution mechanism triggered under Art.65.1 (a) and (b) GDPR contributes to the good functioning of the cooperation mechanism by addressing any disagreements Concerned Supervisory Authorities (CSAs) may have in a given case or if there are conflicting views as to which authority is the Lead Supervisory Authority (LSA).
The EDPB will act as a dispute resolution body. It must adopt a decision to address the conflict between the involved Data Protection Authorities (DPAs), which is binding on them (Art. 65 GDPR). The decision is adopted by a two-thirds majority of the members of the Board, and in case a decision cannot be adopted within 2 months, the decision is adopted within the next 2 weeks by a simple majority.

The European Data Protection Supervisor (EDPS) is a Member of the European Data Protection Board. In addition, the EDPS provides the EDPB Secretariat. The Secretariat offers administrative and logistic support to the EDPB, performs analytical work and contributes to the EDPB’s tasks.

Although staff at the Secretariat is employed by the EDPS, staff members only work under the instructions of the Chair of the EDPB.

The terms of cooperation between the EDPB and the EDPS are established by the Memorandum of Understanding.

Varje organisation, oavsett storlek eller sektor, som är etablerad i Europeiska ekonomiska samarbetsområdet (EES) eller erbjuder produkter eller tjänster till enskilda inom EES, och som behandlar personuppgifter,  automatiserat eller ej, behöver följa GDPR. Även om GDPR huvudsakligen avser automatiserad behandling av personuppgifter kommer behandling som utförs manuellt också att omfattas av GDPR från det att pappersfilerna organiseras på ett systematiskt sätt, t.ex. i alfabetisk ordning i ett arkiveringsskåp.

Exempel på behandling är insamling, registrering, organisering, användning, bearbetning, lagring, utlämnande, ändring och radering av enskildas personuppgifter.

Tillämpningen av dataskyddsförordningen anpassas dock efter arten, sammanhanget, ändamålen och riskerna med den behandling som utförs. För små och medelstora företag vars kärnverksamhet inte är behandling av personuppgifter kan skyldigheterna vara mindre strikta än för ett stort företag.

Mer information:

• Grunderna i dataskydd

Dataskyddsombudets uppgifter omfattar bland annat följande:

• informera och ge råd till organisationen och dess anställda om efterlevnad av dataskyddsregleringen,
• övervaka efterlevnaden av dataskyddet,
• ge råd på begäran om konsekvensbedömning avseende dataskydd.
• att fungera som kontaktpunkt för dataskyddsmyndigheten och samarbeta med den dataskyddsmyndigheten,
• att fungera som kontaktpunkt för enskilda personer.

Dessutom rekommenderas dataskyddsombudets närvaro i allmänhet när beslut som får konsekvenser för dataskyddet fattas. Dataskyddsombudet bör också omedelbart konsulteras när ett dataintrång eller en annan incident har inträffat.

Mer information:

• Dataskyddsombud

Dataskyddsförordningen, GDPR, ålägger alla organisationer som behandlar personuppgifter skyldigheter, oavsett om de är personuppgiftsansvariga eller personuppgiftsbiträden.

Ni bör framför allt

• Fråga er själva om det syfte för vilket personuppgifter kan samlas in är motiverat och endast samla in personuppgifter som är nödvändiga för det eller de specifika ändamål som planeras;
• Hålla enskildas personuppgifter korrekta och uppdaterade och radera uppgifterna när de inte längre behövs,
• Respektera enskildas rättigheter genom att informera dem om hur och varför deras uppgifter behandlas och göra det möjligt för dem att utöva sina rättigheter,
• Kontrollera om ni har en lämplig rättslig grund för behandlingen av personuppgifter. Om ni har för avsikt att förlita er på samtycke från enskilda personer, be om deras samtycke innan ni behandlar deras personuppgifter;
• Se till att enskildas personuppgifter hanteras på ett säkert sätt;
• För register över era personuppgiftsbehandlingar.

Personuppgiftsbiträden måste uppfylla de skyldigheter som anges i personuppgiftsbiträdesavtalet, och de får inte behandla uppgifterna på annat sätt än enligt den personuppgiftsansvariges instruktioner.

Mer information:

• Uppfylla kraven
• Personuppgiftsansvarig eller personuppgiftsbiträde
• Grunderna i dataskydd

• All behandling av personuppgifter måste vara laglig, korrekt och transparent.
• Samla endast in personuppgifter för särskilda, uttryckligt angivna och berättigade ändamål. Behandlingen av en persons uppgifter måste vara strikt begränsad till det eller de ändamål som ursprungligen fastställdes och kan därför inte behandlas för efterföljande eller andra ändamål som är oförenliga med de ursprungliga ändamålen.
• Behandla endast personuppgifter som är nödvändiga och proportionerliga mot bakgrund av det avsedda ändamålet.
• Alla personuppgifter som ni behandlar måste vara korrekta och hållas uppdaterade. Felaktiga personuppgifter måste rättas eller raderas.
• Lagringen av enskildas personuppgifter måste vara tidsbegränsad med hänsyn till det ändamål för vilket dessa uppgifter samlades in och behandlades. Enskilda personers personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga.
• Behandlingen av enskildas uppgifter måste ske på ett säkert sätt. I detta avseende måste robusta cybersäkerhetsåtgärder införas för att säkerställa att enskilda personers uppgifter skyddas på ett adekvat sätt.

Slutligen är den personuppgiftsansvarige ansvarig. Detta innebär att den är ansvarig för och måste kunna visa att principerna ovan följs.

Mer information:

• Grundläggande dataskydd

Ni kan inte lagra personuppgifter för alltid.

I regel kan personuppgifter endast lagras så länge som är nödvändigt mot bakgrund av de ändamål för vilka personuppgifterna behandlas.

I vissa fall kan lagringstiden bestämmas genom särskilda lagar, till exempel om arbetslagstiftningen fastställer en viss lagringsperiod för lönelistor.

Organisationer bör införa policyer för lagring av uppgifter för att se till att personuppgifter inte lagras längre än vad som är nödvändigt. Enskildas personuppgifter måste raderas eller anonymiseras när dessa uppgifter inte längre är nödvändiga för det ändamål för vilket behandlingen har skett.

Mer information:

• Grunderna för dataskydd

The EDPB brings together the EU DPAs and the European Data Protection Supervisor (EDPS). The EEA EFTA countries (Iceland, Liechtenstein and Norway) are also members with regard to GDPR-related matters and without the rights to vote and to be elected as chair or deputy chair. The European Commission and - with regard to GDPR-related matters - the EFTA Surveillance Authority have the right to participate in the activities and meetings of the Board without voting rights.

You can find an overview of the EEA DPAs here.

When a Lead Supervisory Authority (LSA) issues a draft decision, it consults the Concerned Supervisory Authorities (CSAs), which can express their disagreement with the draft decision by submitting relevant and reasoned objections (RRO) within a period of four weeks (Art. 60.4 GDPR).
When none of the CSAs objects, the LSA may proceed to adopt the decision.

In case at least one of the CSAs has expressed an RRO, and if the LSA intends to follow the objection, it shall submit a revised draft decision to all the CSAs. The CSAs then have a period of two weeks (Art. 60.5 GDPR) to express their RROs to the revised draft decision.

However, if the LSA does not intend to follow the objection(s), since no consensus can be reached, the consistency mechanism is triggered. This means that the LSA is obliged to refer the case to the European Data Protection Board (EDPB) and the dispute resolution role of the EDPB is activated (Art. 65.1(a) GDPR).

The dispute resolution mechanism can be triggered in two further cases:

• there is a disagreement as to which authority is the LSA (Art. 65.1(b) GDPR);
• an SA does not seek the opinion of the EDPB as obliged under Art. 64.1 GDPR or does not follow such an opinion (Art. 64.1 - 2 GDPR) (Art. 65.1(c) GDPR).

EDPB har inte behörighet att utöva tillsyn över dataskyddsmyndigheternas verksamhet på begäran av enskilda personer.

Observera att befogenheten att utfärda allmänna riktlinjer inte kan förstås som en mekanism för EDPB att utöva tillsyn över hur dataskyddsmyndigheter hanterar ditt enskilda fall. 

Om du anser att dataskyddsförordningen har överträtts och du inte är nöjd med dataskyddsmyndighetens svar är den återstående lösningen att du inleder ett rättsligt förfarande.

Generellt sett bör varje organisation föra register över sina personuppgiftsbehandlingar. Detta är en inventering av all behandling och kan hjälpa er att göra korrekta bedömningar av ert ansvar enligt dataskyddsförordningen och eventuella risker.

Var och en av dessa behandlingar ska beskrivas i registret med följande uppgifter:

• syftet med behandlingen (t.ex. kundlojalitet);
• de kategorier av uppgifter som behandlas (t.ex. för löner: namn, förnamn, födelsedatum, lön osv.).
• vem som har tillgång till uppgifterna (mottagarna – t.ex. den avdelning som ansvarar för rekrytering, IT-tjänsten, ledningen, tjänsteleverantörerna, partner...).
• i tillämpliga fall, information om överföring av personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES).
• om möjligt, lagringsperioden (den period för vilken uppgifterna är användbara ur operativ synvinkel och ur ett arkiveringsperspektiv).
• om möjligt, en allmän beskrivning av säkerhetsåtgärder.

Registret över personuppgiftsbehandlingar faller under organisationens chefs ansvar.

Detta register måste vara tillgängligt för dataskyddsmyndigheten i det EES-land där ni är verksamma, om så begärs.

Det är inte nödvändigt att organisationer som sysselsätter färre än 250 personer nämner rent tillfällig verksamhet i sina register (t.ex. uppgifter som behandlas för enstaka evenemang såsom öppnandet av en butik).
 

Mer information:

• Uppfylla kraven

Dataskyddsombud kan utföra andra uppgifter inom organisationen, men detta får inte leda till en intressekonflikt. Detta innebär att dataskyddsombudet inte kan ha en position där ombudet bestämmer ändamålen och medlen för behandlingen. Motstridiga funktioner omfattar huvudsakligen ledande befattningar (verkställande direktör, operativ chef, ekonomi- eller finanschef, HR-chef, IT-chef, ) men kan även omfatta andra funktioner om de leder till fastställande av ändamål och medel för behandlingen.

Dataskyddsombudet måste kunna utföra sina uppgifter på ett oberoende sätt. Detta innebär att er organisation:

• inte får ge instruktioner till dataskyddsombudet när det gäller utförandet av deras uppgifter som dataskyddsombud,
• inte får bestraffa eller avsätta dataskyddsombudet för att ha utfört sina uppgifter.

Mer information:

• Dataskyddsombud