Föra register över behandling
Register över personuppgiftsbehandlingar ska upprättas skriftligen, vara tillgängliga i elektroniskt format och hållas uppdaterade. På begäran ska registret göras tillgängligt för IMY. Vad som ska finnas med i registret beskrivs i artikel 30 i dataskyddsförordningen.
Checklista
För personuppgiftsansvariga
-
1
Namn och kontaktuppgifter för den personuppgiftsansvariga, den personuppgiftsansvarigas företrädare samt dataskyddsombudet.
-
2
Ändamålen med behandlingen.
-
3
En beskrivning av kategorierna av registrerade och kategorierna av personuppgifter.
-
4
De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut.
-
5
I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
-
6
Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
-
7
Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
Checklista
För personuppgiftsbiträden
-
1
Namn och kontaktuppgifter för personuppgiftsbiträdet, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, för den personuppgiftsansvarigas och personuppgiftsbiträdets företrädare samt för personuppgiftsbiträdets dataskyddsombud.
-
2
De kategorier av behandling som har utförts för varje personuppgiftsansvarigs räkning.
-
3
I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation.
-
4
Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
Undantag från skyldigheten att föra register över behandling
Skyldigheten att föra register över personuppgiftsbehandling gäller som huvudregel inte för företag och organisationer som har färre än 250 anställda. Skyldigheten gäller dock även för sådana företag om personuppgiftsbehandlingen
- är annat än tillfällig
- sannolikt kommer att medföra en risk för de registrerades rättigheter och friheter, eller
- omfattar känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10.
IMY anser att varje behandling ska bedömas för sig. För ett företag eller organisation som har färre än 250 anställda kan det vara så att någon eller några behandlingar uppfyller de kriterier som gör att registerskyldigheten ändå föreligger medan andra behandlingar inte behöver inkluderas i registret.
Exempelvis måste den behandling som utförs i syfte att administrera löner till de anställda registreras eftersom den inte är tillfällig, samtidigt som en annan typ av behandling inte nödvändigtvis behöver registreras. Oberoende av undantaget rekommenderar IMY att organisationer för register för att hålla bra koll internt på personuppgiftsbehandlingarna.