meny

Föra register över behandling

Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen. Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen.

Checklista för personuppgiftsansvariga

Hos en personuppgiftsansvarig ska registret innehålla följande uppgifter:

  • Namn och kontaktuppgifter för den personuppgiftsansvarige, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
  • Ändamålen med behandlingen.
  • En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
  • De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
  • I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
  • Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
  • Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Checklista för personuppgiftsbiträden

Hos ett personuppgiftsbiträde ska registret innehålla följande uppgifter:

  • Namn och kontaktuppgifter för personuppgiftsbiträdet, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, för den personuppgiftsansvariges och personuppgiftsbiträdets företrädare samt dataskyddsombudet.
  • De kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.
  • I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
  • Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.

Undantag från skyldigheten att föra register över behandling

Skyldigheten att föra register över personuppgiftsbehandling gäller som huvudregel inte för företag och organisationer som har färre än 250 anställda. Skyldigheten gäller dock även för sådana företag om personuppgiftsbehandlingen

  • är annat än tillfällig
  • sannolikt kommer att medföra en risk för de registrerades rättigheter och friheter, eller
  • omfattar känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10.

Datainspektionen anser att varje behandling ska bedömas för sig. För ett företag eller organisation som har färre än 250 anställda kan det vara så att någon eller några behandlingar uppfyller de kriterier som gör att registerskyldigheten ändå föreligger medan andra behandlingar inte behöver inkluderas i registret. Exempelvis måste den behandling som utförs i syfte att administrera löner till de anställda registreras eftersom den inte är tillfällig, samtidigt som en annan typ av behandling inte nödvändigtvis behöver registreras. Oberoende av undantaget rekommenderar Datainspektionen att organisationer för register för att hålla bra koll internt på personuppgiftsbehandlingarna.

Rättsinformation
Artikel 30 (register över behandling)
Skäl 82