meny

Föra register över behandling

Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen.

Checklista för personuppgiftsansvariga

Hos en personuppgiftsansvarig ska registret innehålla följande uppgifter:

  • Namn och kontaktuppgifter för den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
  • Ändamålen med behandlingen.
  • En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
  • De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
  • I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
  • Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
  • Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Checklista för personuppgiftsbiträden

Hos ett personuppgiftsbiträde ska registret innehålla följande uppgifter:

  • Namn och kontaktuppgifter för personuppgiftsbiträdet, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, för den personuppgiftsansvariges och personuppgiftsbiträdets företrädare samt dataskyddsombudet.
  • De kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.
  • I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
  • Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Undantag från skyldigheten att föra register

Det finns ett undantag från skyldigheten att föra register och det gäller företag och organisationer som har färre än 250 anställda. Undantaget gäller om samtliga tre kriterier nedan är uppfyllda.

Företag och organisationer som har färre än 250 anställda är inte skyldiga att föra register om personuppgiftsbehandlingen:

  • inte kommer att medföra en risk för de registrerades rättigheter och friheter,
  • är tillfällig och
  • inte omfattar känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10.

Datainspektionens anser att varje behandling ska bedömas för sig. Om någon av de behandlingar som utförs inte omfattas av undantaget måste ett register föras över den behandlingen, medan de behandlingar som uppfyller ovanstående kriterier inte behöver inkluderas i registret. Exempelvis måste den behandling som utförs i syfte att administrera löner till de anställda registreras eftersom den inte är tillfällig, samtidigt som en annan typ av behandling inte nödvändigtvis behöver registreras. Oberoende av undantaget rekommenderar Datainspektionen att organisationer för register för att hålla bra koll internt på personuppgiftsbehandlingarna.

Rättsinformation
Artikel 30 (register över behandling)
Skäl 82