• Avtal till företag och företagare
  • Fasta priser inkl. genomgång med jurist
  • GDPR-avtal och dokument
  • Gratis inledande samtal med jurist

GDPR-relaterade avtal och dokument

Registerförteckning

Både personuppgiftsansvariga och personuppgiftsbiträden ska föra en registerförteckning över sina personuppgiftsbehandlingar.

Dataskyddsprincipen om ansvarsskyldighet enligt GDPR

Registerförteckning enligt artikel 30 GDPR

Detta krav framgår av artikel 30 GDPR. Observera att den ska vara skriftlig och tillgänglig i elektroniskt format, exempelvis i en Excel-fil. Dessutom måste företaget hålla den uppdaterad över tid.

På begäran av tillsynsmyndigheten, ska företaget uppvisa registerförteckningen. Genom denna, ska tillsynsmyndigheten kunna förstå hur och varför företaget behandlar personuppgifterna.

Det finns vissa undantag från skyldigheten på att upprätta en registerförteckning, men det är mycket få företag och organisationer som undantagen gäller för. Därför rekommenderar tillsynsmyndigheten att alla företag och organisationer för register över sina behandlingar av personuppgifter i en registerförteckning.

Till exempel behöver ett företag inte alltid föra ett register om det är en tillfällig behandling. Detsamma gäller om företaget har färre än 250 anställda. Men trots detta, kan företag i vissa fall behöva föra register ändå, till exempel om företaget behandlar personuppgifter som är känsliga enligt GDPR eller om behandlingen inte är tillfällig. Exempel på en behandling som inte är tillfällig, är behandling av personuppgifter som sker för att kunna utbetala lön till anställda.

Vanliga avtal och dokument som klienter beställer:

  • Allmänna villkor
  • Aktieägaravtal
  • GDPR-relaterade avtal och dokument

Innehåll i en registerförteckning

  • Vem som är personuppgiftsansvarig, kontaktuppgifter till den och eventuellt dataskyddsombud.
  • Syftet med behandlingen. 
  • Vilka kategorier av personuppgifter som den personuppgiftsansvarige behandlingar. 
  • Om den personuppgiftsansvarige överför personuppgifter till ett tredjeland, ska det framgå. 
  • Om det är möjligt ska företaget också inkludera tidsfristerna för gallring av personuppgifter och/eller vilka tekniska och organisatoriska säkerhetsåtgärder som företaget har vidtagit för att skydda personuppgifterna. 

    Innehållet i registerförteckningen skiljer sig åt beroende på om företaget är personuppgiftsansvarig eller personuppgiftsbiträde. Artikel 30 GDPR innehåller information om vad en registerförteckning minst måste innehålla. 

Registerförteckning för personuppgiftsansvariga

Om företaget är personuppgiftsansvarig måste registerförteckningen innehålla minst följande:

1. Namn och kontaktuppgifter till:
a) den Personuppgiftsansvarige (samt i tillämpliga fall gemensamt personuppgiftsansvariga), 
b) den personuppgiftsansvariges företrädare, 
c) dataskyddsombudet (om tillämpligt).

2. Vilka ändamålen är med varje enskild personuppgiftsbehandling.

3. En beskrivning av kategorierna av registrerade.

4. En beskrivning av kategorierna av personuppgifter.

5. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

6. Om personuppgifterna bli överförda till ett tredjeland eller en internationell organisation, samt en identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

7. De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter (om det möjligt att ange detta).

8. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (om det möjligt att ange detta).

Tänk på följande!

En registerförteckning måste vara skriftlig. Dessutom ska den vara tillgänglig i elektronisk form. Om IMY, som är den svenska tillsynsmyndigheten för ärenden gällande GDPR, begär att få se registerförteckningen, ska företaget överlämna den.  

Registerförteckning för personuppgiftsbiträden

Om företaget är personuppgiftsbiträde måste registerförteckningen innehålla minst följande:

1. Namn och kontaktuppgifter för:
a) personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar,
b) den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare,
c) dataskyddsombudet (om tillämpligt).

2. Vilka kategorier av behandlingar som har utförts för varje personuppgiftsansvariges räkning.

3. Om personuppgifterna bli överförda till ett tredjeland eller en internationell organisation, samt en identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

4. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (om det är möjligt att ange detta).

Minimikrav enligt artikel 30 GDPR

Observera att innehållskraven som förekommer i artikel 30 GDPR enbart utgör minimikraven och det är därmed möjligt att inkludera ytterligare information i registerförteckningen. Exempelvis information om området för behandlingen (HR, IT-avdelningen etc.), lagringsplatsen m.m. Det är inte heller ett krav att ange den rättsliga grunden för behandlingen i registerförteckningen. Däremot måste den rättsliga grunden framgå i informationen om behandlingen av personuppgifterna som blir presenterad för de registrerade. Exempelvis i integritetsmeddelandet som företaget kan publicera på sin officiella webbplats.

Något som är viktigt att tänka på är att inte registrera några personuppgifter i registerförteckningen (utöver personuppgifter tillhörande företagets företrädare, eventuella kontaktpersoner och dataskyddsombudet, som krävs enligt minimikraven).

Behöver ni hjälp?

Vi kan hjälpa er genom att upprätta en registerförteckning i enlighet med GDPR till fast pris. 

Om ni redan har en registerförteckning, kan vi granska det till fast pris. Priset inkluderar kompletteringar och justeringar samt genomgång via telefon och dator.  

Om ni behöver andra typer av GDPR relaterade avtal och dokument, kan ni även kika igenom och jämföra våra GDPR-paket. De innehåller flera viktiga GDPR-relatera avtal och dokument.

Se och jämför GDPR-paketen

Mer information

Integritetsmeddelande

Företag är skyldiga att informera de registrerade om behandlingen av personuppgifter. Det brukar ske genom ett integrietsmeddelande som den registrerade accepterar. Där ska det bland annat framgå vad syftet med behandlingen är, vilka rättigheter som den registrerade har och när företaget kommer radera personuppgifterna m.m. 

Vill du veta mer?

Till nästa sida

Lär dig mer

Gratis juridikskola

Vi driver olika gratis juridikskolor för företagare på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

DIGITALA

Juristerna

Linkedin Instagram
Vi arbetar på distans och håller möten på det sätt som passar dig bäst, via telefon eller videomöte

Kontakta oss

  • 08-81 66 33
Mån-Sön: kl 09:00-20:00.

DigiJuris Sverige AB
Sveavägen 124, 113 50 Stockholm
kontakt@digitalajuristerna.se
Org. nr: 559434-7378

ekonomi@digitalajuristerna.se
Bankgiro: 161-4262
VAT.nr: SE559434737801
Godkänd för F-skatt

GDPR

Juridikskola

Nyheter

Sök på sidan

Rulla till toppen
Call Now Button