European Data Protection Board logo
Close menu

Frequently Asked Questions

Filter on
Filter on topic

Vad ska vi göra vid en personuppgiftsincident?

En personuppgiftsincident är en säkerhetsincident som leder till oavsiktlig eller olaglig förstörelse, förlust, ändring, obehörigt röjande av, eller tillgång till, personuppgifter.

  • Om personuppgiftsincidenten utgör en risk för de berörda personerna måste ni anmäla det till relevant dataskyddsmyndighet inom 72 timmar.
  • Om överträdelsen sannolikt kommer att leda till en hög risk för individer, måste ni också kommunicera överträdelsen till de berörda personerna utan onödigt dröjsmål.

I vilket fall som helst måste ni för alla incidenter – även de som inte anmäls till en dataskyddsmyndighet – registrera åtminstone de grundläggande uppgifterna om överträdelsen, bedömningen av överträdelsen, dess effekter och de åtgärder som vidtagits.

Mer information:

Hur kan vi respektera enskildas dataskyddsrättigheter?

I den allmänna dataskyddsförordningen föreskrivs särskilda rättigheter för enskilda personer som måste respekteras. Ni kan göra detta genom att:

  • informera personer vars uppgifter ni behandlar om er behandling och ändamålen med behandlingen när ni samlar in deras uppgifter, till exempel via en integritetspolicy på er webbplats;
  • genom att svara på enskildas begäranden om att utöva sina rättigheter, såsom åtkomst, rättelse, invändning, radering eller förfrågningar om dataportabilitet.

Organisationer som är öppna med sin användning av personuppgifter och som respekterar enskildas rättigheter är mindre benägna att bli föremål för klagomål.

Mer information:

Vill du utöva de registrerades rättigheter (radering, rättelse, åtkomst) till personuppgifter i Schengens informationssystem (SIS)?

Kommittén för samordningstillsyn – som finns inom Europeiska dataskyddsstyrelsen – samordnar övervakningen av behandlingen av personuppgifter i Schengens informationssystem (SIS). Relevant EU-lagstiftning är förordning (EU) 2018/1862 (särskilt artikel 71) och förordning (EU) 2018/1861 (särskilt artikel 57).

För personuppgifter i SIS har du rätt till åtkomst, rättelse och radering. Dessa rättigheter omfattar följande:

  • Rätten att få veta om uppgifter som rör dig behandlas i SIS.
  • Rätten att få tillgång till dessa uppgifter.
  • Rätt till rättelse av felaktiga uppgifter eller radering när dessa uppgifter har lagrats olagligt; och
  • Rätten att vidta åtgärder med domstolar, din dataskyddsmyndighet och/eller behöriga myndigheter, beroende på vad som är lämpligt, för att korrigera eller radera uppgifter som rör dig eller för att få ersättning.

Om du vill utöva dina rättigheter kan du kontakta din nationella behöriga myndighet i det Schengenland du väljer. Mer information om de nationella behöriga myndigheterna och om dataskyddsmyndigheten i varje Schengenland finns i ”Handledningför utövande av registrerades rättigheter”,som finns på vår webbplats. Där kan du också hitta standardbrev som hjälper dig att utöva dina rättigheter. 

Observera att Europeiska dataskyddsstyrelsen inte har behörighet att hantera enskilda klagomål eller begäranden. Dessutom har EDPB inte tillgång till innehållet i dessa informationssystem och databaser.

Mer information om hur du utövar dina rättigheter finns på vår webbplats https://www.edpb.europa.eu/our-work-tools/our-documents/csc-data-subject-rights/schengen-information-system-guide-exercising_sv 

Hur kan vi hålla oss uppdaterade om EDPB:s arbete?

EDPB publicerar regelbundet pressmeddelanden, nyhetsartiklar, bloggar och annat innehåll på sin webbplats och sina kanaler för sociala medier (Twitter: @EU_EDPB; LinkedIn: European Data Protection Board) för att hålla dataskyddsintresserade och allmänheten uppdaterad om sitt arbete.

EDPB:s webbplats har också två RSS-flöden som ni kan prenumerera på för automatiska uppdateringar av EDPB:s nyheter och EDPB:s senaste publikationer.

Vad är GDPR?

GDPR eller den allmänna dataskyddsförordningen skapar en harmoniserad uppsättning regler som är tillämpliga på all behandling av personuppgifter som utförs av organisationer (offentliga eller privata, oavsett storlek) som är etablerade i Europeiska ekonomiska samarbetsområdet (EES) eller riktar sig till enskilda personer i EU. Det primära syftet med GDPR är att säkerställa att personuppgifter har samma höga skyddsnivå överallt inom EES, öka rättssäkerheten för både enskilda och organisationer som behandlar personuppgifter och erbjuda en hög skyddsnivå för enskilda personer.

Förordningen trädde i kraft den 24 maj 2016 och gäller sedan den 25 maj 2018.

What are my rights under the GDPR?

All individuals residing in the European Economic Area (EEA) have the right to the protection of their personal data.

More specifically, under the GDPR, you have several rights

  • Right to be informed
  • Right of access
  • Right to rectification
  • Right to restriction of processing
  • Right to data portability
  • Right to object
  • Right not be subject to a decision based solely on automated processing.

For more information on your rights, please consult our leaflet The GDPR and your rights or the EDPB Data Protection Guide for small business.

Gäller GDPR även pappersdokumentation?

Ja, GDPR gäller om personuppgifterna finns eller är avsedda att ingå i ett register. Detta innebär att GDPR även gäller för pappersregister och inte enbart för automatiserad behandling av personuppgifter.

Mer information:

Vad är ett gemensamt personuppgiftsansvar?

När det finns två eller flera personuppgiftsansvariga som gemensamt bestämmer ändamålen och medlen för behandlingen betraktas de som gemensamt personuppgiftsansvariga. De beslutar tillsammans att behandla personuppgifter för ett gemensamt ändamål. Gemensamt personuppgiftsansvar kan ta sig många former och de olika personuppgiftsansvarigas deltagande kan vara ojämlikt. Gemensamt personuppgiftsansvariga måste därför fastställa sitt respektive ansvar för efterlevnaden av dataskyddsförordningen.

Det är viktigt att notera att gemensamt personuppgiftsansvar leder till ett gemensamt ansvar för en personuppgiftsbehandling.

  • Exempel på gemensamt personuppgiftsansvar: Företag A och B har lanserat en co-branded produkt och vill organisera ett evenemang för att marknadsföra denna produkt. För detta ändamål beslutar de att dela data från sina respektive kunddatabaser och potentiella kunddatabaser och att besluta om förteckningen över inbjudna till evenemanget på grundval av detta. De är också överens om formerna för att skicka inbjudningarna till evenemanget, hur man samlar in feedback under evenemanget och uppföljning av marknadsföringsåtgärder. Företag A och B kan betraktas som gemensamt personuppgiftsansvariga för behandling av personuppgifter som rör organisationen av marknadsföringsevenemanget, eftersom de tillsammans beslutar om det gemensamt definierade syftet och de väsentliga medlen för databehandlingen i detta sammanhang.

Mer information:

Vi organiserar ett evenemang som en del av vår affärsverksamhet, kan vi ta bilder och videor av evenemanget och de personer som deltar?

Ja, men för att göra detta måste ni först bestämma den rättsliga grunden för behandling av denna typ av personuppgifter. Till exempel kan behandlingen betraktas som ett berättigat intresse för er organisation. Vid behandling av personuppgifter på grundval av berättigat intresse är det alltid nödvändigt att göra en intresseavvägning för att avgöra om era berättigade intressen väger tyngre än den enskildes rättigheter, särskilt om barn är inblandade.

En annan möjlig rättslig grund för sådan behandling kan vara samtycke. Under alla omständigheter bör enskilda alltid informeras i förväg om att evenemanget fotograferas eller filmas.

Mer information:

Om vi vill lagra meritförteckningar för kandidater för framtida rekryteringsförfaranden, måste vi be om de sökandes samtycke?

Samtycke kan vara en giltig rättslig grund för lagring av meritförteckningar för arbetssökande. En annan möjlig rättslig grund kan vara berättigat intresse. I så fall måste ni göra en intresseavvägning för att bevisa att er organisations berättigade intressen väger tyngre än de sökandes rättigheter.

Under alla omständigheter måste ni informera kandidaterna om att ni planerar att lagra deras uppgifter och för vilka ändamål.

Mer information:

Skriver du om ett land utanför EU som anses tillhandahålla en adekvat dataskyddsnivå (beslut om adekvat skyddsnivå)?

Europeiska kommissionen kan besluta om ett land utanför Europa (eller en internationell organisation) erbjuder en ”adekvat” dataskyddsnivå, vilket underlättar dataflödena mellan Europa och detta land. 

Europeiska dataskyddsstyrelsen ansvarar för att avge yttranden om utkasten till beslut om adekvat skyddsnivå innan Europeiska kommissionen fattar sitt beslut. Yttrandena är inte bindande för Europeiska kommissionen men är vanligtvis användbara för de andra organisationer som rådfrågas inom denna ram, t.ex. EU:s medlemsstater.

Dessutom är Europeiska kommissionen den som är behörig att övervaka utvecklingen i icke-europeiska länder som kan påverka beslut om adekvat skyddsnivå. Vissa beslut om adekvat skyddsnivå föreskriver en särskild regelbundenhet för översynen av beslutet och kan hänvisa till möjligheten för EDPB:s företrädare att delta i den översynsprocess som anordnas av Europeiska kommissionen.

Observera också att de europeiska dataskyddsmyndigheterna kan skydda enskilda personer med avseende på dataöverföringar som görs i samband med beslut om adekvat skyddsnivå (se en förteckning över dem på vår webbplats: https://edpb.europa.eu/about-edpb/our-members).

Om du anser att ett befintligt beslut om adekvat skyddsnivå inte är förenligt med din grundläggande rätt till integritet och dataskydd kan du lämna in ett klagomål till din dataskyddsmyndighet, som kan lämna in dessa invändningar till en nationell domstol som kan behöva begära ett förhandsavgörande från EU-domstolen (se artikel 58.5 i den allmänna dataskyddsförordningen och EU-domstolens Schrems-dom (mål C-362/14)).

För ytterligare information, se: https://commission.europa.eu/law/law-topic/data-protection/international-dimension-data-protection/adequacy-decisions_sv 

The deadline for submitting comments to a public consultation has expired, can I still submit comments?

Unfortunately, the EDPB cannot consider late contributions as part of the public consultation.

Kan vi endast behandla personuppgifter när vi har den enskildes samtycke?

Behandling av personuppgifter är tillåten om det finns en rättslig grund för det. Förutom fritt, specifikt, informerat och otvetydigt samtycke kan andra rättsliga grunder för behandling användas.

Med andra ord är samtycke nödvändigt när ingen av de andra rättsliga grunderna är tillämplig.

Mer information:

Måste jag vara certifierad för att bli ett dataskyddsombud (DSO)?

Nej, du behöver inte vara certifierad för att bli ett dataskyddsombud.

Dataskyddsombuden måste dock kunna visa att de har de nödvändiga kvalifikationer som krävs enligt den allmänna dataskyddsförordningen, såsom expertkunskaper om dataskyddslagstiftning och dataskyddspraxis.

Mer information:

Vad är en konsekvensbedömning avseende dataskydd och när är detta obligatoriskt?

En konsekvensbedömning avseende dataskydd är en skriftlig bedömning som er organisation bör göra för att utvärdera effekterna av en planerad behandling av personuppgifter. Det hjälper er att identifiera lämpliga åtgärder för att hantera riskerna och visa efterlevnad.

Även om det alltid är att föredra att förutse effekterna av planerad behandling av er organisation genom att göra en konsekvensbedömning, är det obligatoriskt att utföra en sådan om behandlingen sannolikt kommer att leda till en hög risk för enskildas rättigheter och friheter.

Detta är särskilt fallet när den planerade behandlingen omfattar följande:

  • behandling – i stor skala av känsliga personuppgifter eller uppgifter som rör fällande domar i brottmål;  
  • en systematisk och omfattande utvärdering av en enskilds personliga aspekter som grundar sig på  automatiserad behandling, inbegripet profilering, och på vilken beslut  grundar sig som har rättsliga följder för den enskilde eller på liknande sätt väsentligt påverkar enskilda personer.
  • systematisk övervakning av ett allmänt tillgängligt område i stor skala.

Europeiska dataskyddsstyrelsen har utarbetat riktlinjer som anger de kriterier som ni behöver beakta när ni bedömer om en konsekvensbedömning avseende dataskydd är obligatorisk eller inte. Dataskyddsmyndigheterna har också offentliggjort förteckningar över behandlingar som omfattas av en konsekvensbedömning avseende dataskydd. Dessutom har flera dataskyddsmyndigheter utvecklat guider, programvara eller självbedömningsverktyg för att hjälpa till med bedömningen.

Mer information:

Vilka är de rättsliga grunderna för behandling av personuppgifter enligt GDPR?

Personuppgiftsansvariga kan endast behandla personuppgifter under någon av följande omständigheter:

  • med de berörda personernas samtycke,
  • om behandlingen är nödvändig för att fullgöra ett avtal (ett avtal mellan er organisation och  den registrerade);
  • uppfylla en rättslig förpliktelse enligt EU-lagstiftning eller nationell lagstiftning,
  • om behandlingen är nödvändig för att utföra en uppgift av allmänt intresse enligt EU-lagstiftning eller nationell lagstiftning,
  • för att skydda en enskilds grundläggande intressen,
  • för er organisations berättigade intressen – utom när de  registrerades rättigheter och friheter väger tyngre än dessa intressen.

Dessutom fastställer dataskyddsförordningen ytterligare villkor för behandling av känsliga personuppgifter.

Mer information:

Måste även personuppgiftsbiträden respektera GDPR?

Ja, personuppgiftsbiträden (dvs. personer eller verksamheter som behandlar uppgifter på uppdrag av en personuppgiftsansvarig) har skyldigheter enligt dataskyddsförordningen. Det finns dock vissa skillnader mellan ansvaret för personuppgiftsansvariga och personuppgiftsbiträden.

Personuppgiftsbiträden måste följa de skyldigheter som anges i personuppgiftsbiträdesavtalet, som närmare beskriver behandlingen och sättet att behandla personuppgifter. Personuppgiftsbiträdet måste till exempel utföra behandlingen med lämpliga tekniska och organisatoriska åtgärder enligt den personuppgiftansvariges anvisningar. Därigenom hjälper personuppgiftsbiträdet den personuppgiftsansvarige att följa dataskyddsförordningen.

Mer information:

Vad bör ingå i ett avtal mellan personuppgiftsansvarig och personuppgiftsbiträde?

I avtalet mellan den pesonuppgiftsansvarige och personuppgiftsbiträdet ska det föreskrivas att personuppgiftsbiträdet

  • behandlar personuppgifterna endast enligt den personuppgiftsansvariges instruktioner, inbegripet när det gäller överföring av personuppgifter till ett land utanför EES,
  • säkerställer att de personer som är behöriga att behandla uppgifterna har åtagit sig att iaktta sekretess eller har en lämplig lagstadgad tystnadsplikt,
  • säkerställer säkerheten vid behandlingen,
  • inte får anlita ett annat personuppgiftsbiträde utan den personuppgiftsansvariges särskilda eller allmänna skriftliga tillstånd,
  • bistår den personuppgiftsansvarige med fullgörandet av den personuppgiftsansvariges skyldigheter att svara på enskildas begäran om att utöva sina rättigheter,
  • bistår den personuppgiftsansvarige med att säkra behandlingen, anmäla personuppgiftsincidenter och utföra konsekvensbedömningar avseende dataskydd,
  • efter den personuppgiftsansvariges val raderar eller returnerar alla personuppgifter till den personuppgiftsansvarige efter det att tillhandahållandet av tjänster har upphört.
  • gör all nödvändig information tillgänglig för den personuppgiftsansvarige för att visa att skyldigheterna enligt den allmänna dataskyddsförordningen efterlevs,
  • möjliggör och bidrar till revisioner, inbegripet inspektioner som utförs av den personuppgiftsansvarige eller en annan revisor som den personuppgiftsansvarige bemyndigat.

Dessutom ska personuppgiftsbiträdet omedelbart informera den personuppgiftsansvarige om den anser att instruktioner strider mot den allmänna dataskyddsförordningen eller andra EU-bestämmelser eller nationella dataskyddsbestämmelser.

Mer information:

Kan vi överföra personuppgifter utanför Europeiska ekonomiska samarbetsområdet (EES)?

Enligt dataskyddsförordningen finns det i princip två huvudsakliga sätt att överföra personuppgifter till ett land utanför EES eller till en internationell organisation. Överföringar får ske på grundval av ett beslut om adekvat skyddsnivå eller, i avsaknad av ett sådant beslut, på grundval av lämpliga skyddsåtgärder, inbegripet verkställbara rättigheter och rättsmedel för enskilda.

Mer information:

Är dataskyddsombudet (DSO) ansvarigt för att följa GDPR?

Dataskyddsombudet kan inte hållas ansvarigt för underlåtenhet att följa dataskyddsförordningen, GDPR. Det är den organisation som utsett dataskyddsombudet som ansvarar för att följa GDPR.

Mer information: