European Data Protection Board

Yttrande 08/2024 om giltigt samtycke inom ramen för modeller för samtycke eller betalning som används av stora onlineplattformar

17 April 2024

Opinion of the Board (Art. 64)

Yttrande 19/2024 om certifieringskriterierna i EuroPrise-systemet angående styrelsens godkännande av dem som europeiskt sigill för dataskydd enligt artikel 42.5 i den allmänna dataskyddsförordningen

18 July 2024

Opinion of the Board (Art. 64)

Bindande beslut 2/2023 om den tvist som hänskjutits av den irländska tillsynsmyndigheten angående TikTok Technology Limited (artikel 65 i den allmänna dataskyddsförordningen)

2 August 2023

Binding decision of the Board (Art. 65)

The EDPB Binding Decision 2/2023 relates to processing of children’s personal data by TikTok Technology Limited, namely the processing of personal data of registered TikTok platform users who are aged between 13 and 17 years old in connection to certain design practices, as well as certain issues relating to children under the age of 13.

Please find the decision of the IE SA in the EDPB Register for Decisions taken by supervisory authorities and courts on issues handled in the consistency mechanism or directly here.

EDPB antar sin första rapport inom ramen för dataskyddsramen mellan EU och Förenta staterna och ett uttalande om rekommendationerna om tillgång till uppgifter för brottsbekämpande myndigheter

5 November 2024

EDPB

Riktlinjer 9/2022 om anmälan av personuppgiftsincidenter enligt den allmänna dataskyddsförordningen

4 April 2023

Guidelines

Riktlinjer 03/2021 om tillämpningen av artikel 65.1 a i den allmänna dataskyddsförordningen

24 May 2023

Guidelines

EDPB antar ett yttrande om personuppgiftsbiträden, riktlinjer om berättigat intresse, uttalande om utkast till förordning om efterlevnad av den allmänna dataskyddsförordningen och arbetsprogram 2024–2025

9 October 2024

EDPB

Yttrande 04/2024 om begreppet huvudsakligt verksamhetsställe för en personuppgiftsansvarig i unionen enligt artikel 4.16 a i dataskyddsförordningen

13 February 2024

Opinion of the Board (Art. 64)

Vem är personuppgiftsansvarig och vem är personuppgiftsbiträde?

Dataskyddsförordningen skiljer mellan två huvudroller: personuppgiftsansvariga och personuppgiftsbiträde. Denna åtskillnad är avgörande eftersom den personuppgiftsansvarige har ett större ansvar och måste fullgöra fler skyldigheter än personuppgiftsbiträdet.

Personuppgiftsansvariga och personuppgiftsbiträden kan vara fysiska eller juridiska personer, till exempel ett litet eller medelstort företag, en offentlig myndighet, en organisation, ett statligt organ, en sammanslutning osv.

En personuppgiftsansvarig bestämmer ändamålen och medlen för en behandling. Med andra ord bestämmer den personuppgiftsansvarige hur och varför en behandling sker. Personuppgiftsbiträdet behandlar personuppgifter för den personuppgiftsansvariges räkning. Behandling som utförs av personuppgiftsbiträden måste regleras genom ett avtal med den personuppgiftsansvarige eller genom annan rättsakt.

Exempel på personuppgiftsansvariga:

företag som behandlar sina kunders personuppgifter för att slutföra en försäljning;
finansinstitut som behandlar sina kunders personuppgifter.
sammanslutningar som behandlar sina medlemmars personuppgifter.
skolor eller universitet som behandlar personuppgifter om studenter och lärare.
sjukhus som behandlar sina patienters personuppgifter.
myndigheter som behandlar medborgarnas personuppgifter.

Exempel på personuppgiftsbiträden:

ett litet eller medelstort företag anlitar en bokföringstjänst för att föra sina räkenskaper och register, SME-företaget är personuppgiftsansvarig och bokföringstjänsten är personuppgiftsbiträde.
ett löneföretag behandlar personuppgifter för ett SME-företag. Löneföretaget kommer att fungera som personuppgiftsbiträde om det enbart behandlar personuppgifterna för SME-företagets räkning. SME-företaget bestämmer ändamålen och medlen för databehandlingen och är därför personuppgiftsansvarigt.
ett SME-företag ger ett marknadsföringsföretag i uppdrag att samla in e-postadresser via tredje parts webbplatser. Marknadsföringsföretaget gör detta enligt de uttryckliga instruktionerna från SME-företaget och uteslutande för SME-företagets syften. Marknadsföringsföretaget fungerar som personuppgiftsbiträde för denna behandling av personuppgifter.

Mer information:

Personuppgiftsansvarig eller personuppgiftsbiträde

Vem kan fylla rollen som dataskyddsombud?

Dataskyddsombudet kan vara en befintlig anställd med tillräcklig kunskap om dataskyddsförordningen (om den anställdes yrkesmässiga uppgifter är förenliga med dataskyddsombudets arbetsuppgifter och detta inte leder till intressekonflikter) eller en extern person. Dataskyddsombudet bör kunna utföra uppgifter självständigt och bör kunna rapportera direkt till den högsta ledningen.