Registreringsliste
Noen selskaper er pålagt å opprette en registerliste under GDPR
Det er et krav for enkelte selskaper å etablere en registerliste under GDPR. Det betyr at selskapet må dokumentere sin behandling av personopplysninger.
Ikke alle selskaper trenger å opprette et registerliste under GDPR
Ikke alle selskaper trenger å utarbeide en registerliste. Selskaper med mer enn 250 ansatte må som hovedregel opprette et register. På den annen side kan bedrifter med færre ansatte også trenge å gjøre det.
Foretak med færre enn 250 ansatte skal registrere behandlingsaktiviteter:
- Er vanlig og derfor ikke relatert til en midlertidig behandling.
- Det kan medføre risiko for de registrertes rettigheter og friheter.
- Omfatter særlige kategorier av opplysninger i henhold til artikkel 9 nr. 1 i GDPR.
- Inkluderer personopplysninger om straffedommer og lovbrudd i henhold til artikkel 10 i GDPR.
Vær oppmerksom på at selskaper med færre enn 250 ansatte som utfører en behandlingsoperasjon som krever registrering, ikke er pålagt å registrere all behandling av personopplysninger. Bare de behandlingene som oppfyller ett av de ovennevnte kravene, må dokumenteres i registeret. Dette skiller seg fra de større bedriftene med mer enn 250 ansatte, som må dokumentere alle sine behandlingsoperasjoner i registeret.
Må være skriftlig og tilgjengelig elektronisk
Bedrifter som trenger å utarbeide en registerliste, må gjøre det skriftlig i henhold til artikkel 30 i GDPR. I tillegg skal registerlisten være tilgjengelig i elektronisk format. For eksempel via en Excel-fil. Dersom den nasjonale databeskyttelsesmyndigheten ber om tilgang til den, skal selskapet gi den.
Eksempel på hva som skal inkluderes i en liste over kontrollører
Kontaktinformasjon
kontaktopplysningene til den behandlingsansvarlige, Hvis selskapet har en databeskyttelsesansvarlig, må deres kontaktinformasjon også angis.
Formål
Formålet med behandlingen.
Kategorier
Kategoriene av personopplysninger som behandlingen gjelder, for eksempel sensitive eller andre personvernsensitive personopplysninger; Det samme gjelder kategorier av registrerte som barn eller andre grupper som fortjener ekstra beskyttelse.
Mottaker
Til hvem selskapet gir personopplysningene. For eksempel en prosessor, dedikerte interne avdelinger eller andre ansatte.
Overføring til et tredjeland
Dersom foretaket overfører personene til et tredjeland, dvs. et land utenfor EU/EØS, bør det angis. Det bør også nevnes hvilket tredjeland det dreier seg om.
Frist
Varigheten av behandlingen av personopplysningene.
Sikringsinnretninger
Det er også nyttig å inkludere en beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som er innført av selskapet for å beskytte personopplysningene.
Eksempel på hva som skal tas med i en databehandlers register
Kontaktinformasjon
Kontaktinformasjon: Databehandlerens kontaktopplysninger skal inngå i registeret. Det samme gjelder den behandlingsansvarlige som databehandleren har fått et behandlingsoppdrag fra. Dersom databehandleren har en personvernombud, skal kontaktopplysningene til personvernombudet også angis.
Kategorier
Kategoriene av personopplysninger som berøres av behandlingen, som databehandleren utfører for den behandlingsansvarlige.
Overføringer til tredjestater
Informasjon om enhver overføring av personopplysninger til en aktør i en tredjestat; Det vil si et land utenfor EU/EØS.
Sikringsinnretninger
Registerlisten bør inneholde en beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene som databehandleren har gjennomført for å verne personopplysningene, dersom det er mulig å angi dem. Eksempler på tekniske og organisatoriske sikkerhetstiltak som databehandleren kan iverksette, er bruk av antivirusbeskyttelse, flertrinnsautentisering for innlogging, kryptering, interne prosedyrer, databehandleravtaler osv.
Mer informasjon
Inngå en databehandlingsavtale
Dersom en behandlingsansvarlig engasjerer en databehandler, skal den inngå en databehandleravtale med hverandre. Vær oppmerksom på at kontrakten må være skriftlig, da det er et formelt krav i henhold til loven. Kontrakten regulerer forholdet mellom partene i kontrakten, samt hva databehandleren kan eller ikke kan gjøre med personopplysningene.