Registerförteckning
Vissa företag måste upprätta en registerförteckning enligt GDPR
Det är ett krav att vissa företag måste upprätta en registerförteckning enligt GDPR. Det innebär att företaget ska dokumentera sina personuppgiftsbehandlingar.
Alla företag behöver inte upprätta en registerförteckning enligt GDPR
Det är inte alla företag som behöver upprätta en registerförteckning. Huvudregeln är att företag med över 250 anställda måste upprätta en registerförteckning. Däremot kan även företag med färre anställda behöva göra det.
Företag med färre än 250 anställda måste upprätta en registerförteckning om behandlingen:
- Är regelbunden och det därmed inte avser en tillfällig behandling.
- Sannolikt kommer att medföra en risk för registrerades rättigheter och friheter.
- Omfattar särskilda kategorier av uppgifter enligt artikel 9.1 i GDPR.
- Omfattar personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott enligt artikel 10 i GDPR.
Tänk på att företag med färre än 250 anställda som utför en behandling som kräver en registerförteckning, inte måste registrera alla sina personuppgiftsbehandlingar. Det är endast de behandlingarna som uppfyller något av ovan angivna krav som behöver dokumenteras i registerförteckningen. Detta skiljer sig från de större företagen med fler än 250 anställda, som måste dokumentera alla sina behandlingar i registerförteckningen.
Måste vara skriftligt och finnas tillgängligt elektroniskt
Företag som behöver upprätta en registerförteckning måste göra det skriftligen enligt artikel 30 i GDPR. Dessutom ska registerförteckningen finnas tillgängligt i ett elektroniskt format. Exempelvis via en excel-fil. Om den nationella dataskyddsmyndigheten begär att få tillgång till den, ska företaget ge det.
Exempel på vad som ska ingå i en registerförteckning för personuppgiftsansvariga
Kontaktuppgifter
Kontaktuppgifter till den personuppgiftsansvarige. Om företaget har ett dataskyddsombud, ska dennes kontaktuppgifter också framgå.
Syftet
Vad syftet med behandlingen är.
Kategorier
Vilka kategorier av personuppgifter som behandlingen avser såsom om det gäller känsliga eller andra integriteskänsliga personuppgifter. Detsamma gäller kategorier av registrerade såsom om det gäller barn eller andra extra skyddsvärda grupper.
Mottagare
Vem företaget överlämnar personuppgifterna till. Till exempel ett personuppgiftsbiträde, särskilda interna avdelningar eller andra medarbetare.
Överföring till tredjeland
Om företaget överför personerna till ett tredjeland, alltså ett land utanför EU/EES-området, ska det anges. Det tredjelandet ifråga bör också noteras.
Tidsfrist
Hur länge personuppgifterna kommer att behandlas.
Säkerhetsåtgärder
Det är bra att även inkludera en beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som företaget vidtar för att skydda personuppgifterna.
Exempel på vad som ska ingå i en registerförteckning för personuppgiftsbiträden
Contact details
Kontaktuppgifter: Kontaktuppgifter till personuppgiftsbiträdet ska framgå i registerförteckningen. Detsamma gäller för varje personuppgiftsansvarige som personuppgiftsbiträdet har fått ett behandlingsuppdrag av. Om personuppgiftsbiträdet har ett dataskyddsombud, ska kontaktuppgifter till denne också framgå.
Kategorier
Vilken kategorier av personuppgifter som behandlingen avser, som personuppgiftsbiträdet utför för den personuppgiftsansvarige.
Överföringar till tredjeland
Information om eventuell överföring av personuppgifter till en aktör i ett tredjeland. Det vill säga, ett land utanför EU/EES-området.
Säkerhetsåtgärder
Registerförteckningen bör inkludera en beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna som personuppgiftsbiträdet vidtar för att skydda personuppgifterna, om det är möjligt att ange dem. Exempel på tekniska och organisatoriska säkerhetsåtgärder som personuppgiftsbiträdet kan vidta är användning av antivirus-skydd, flerstegsautentisering vid inlogg, kryptering, interna rutiner, personuppgiftsbiträdesavtal m.m.
Mer info
Ingå ett personuppgiftsbiträdesavtal
När en personuppgiftsansvarig anlitar ett personuppgiftsbiträde, ska de ingå ett personuppgiftsbiträdesavtal med varandra. Observera att avtalet ska vara skriftligt, eftersom det är ett formkrav enligt lagen. I avtalet reglerar man förhållandet mellan avtalsparterna, samt vad personuppgiftsbiträdet får respektive inte får göra med personuppgifterna