Registerförteckning

Både personuppgiftsansvariga och personuppgiftsbiträden ska föra en registerförteckning över sina personuppgiftsbehandlingar.

Innebörden av principen riktighet i GDPR

Registerförteckning enligt artikel 30 GDPR

Detta krav framgår av artikel 30 GDPR. Observera att den ska vara skriftlig och tillgänglig i elektroniskt format, exempelvis i en Excel-fil. Dessutom måste företaget hålla den uppdaterad över tid.

På begäran av tillsynsmyndigheten, ska företaget uppvisa registerförteckningen. Genom denna, ska tillsynsmyndigheten kunna förstå hur och varför företaget behandlar personuppgifterna.

Det finns vissa undantag från skyldigheten på att upprätta en registerförteckning, men det är mycket få företag och organisationer som undantagen gäller för. Därför rekommenderar tillsynsmyndigheten att alla företag och organisationer för register över sina behandlingar av personuppgifter i en registerförteckning.

Till exempel behöver ett företag inte alltid föra ett register om det är en tillfällig behandling. Detsamma gäller om företaget har färre än 250 anställda. Men trots detta, kan företag i vissa fall behöva föra register ändå, till exempel om företaget behandlar personuppgifter som är känsliga enligt GDPR eller om behandlingen inte är tillfällig. Exempel på en behandling som inte är tillfällig, är behandling av personuppgifter som sker för att kunna utbetala lön till anställda.

Innehåll i en registerförteckning

Innehållet i registerförteckningen skiljer sig åt beroende på om företaget är personuppgiftsansvarig eller personuppgiftsbiträde. Artikel 30 GDPR innehåller information om vad en registerförteckning minst måste innehålla.

Registerförteckning för personuppgiftsansvariga

Om företaget är personuppgiftsansvarig måste registerförteckningen innehålla minst följande:

1. Namn och kontaktuppgifter till:
a) den Personuppgiftsansvarige (samt i tillämpliga fall gemensamt personuppgiftsansvariga), 
b) den personuppgiftsansvariges företrädare, 
c) dataskyddsombudet (om tillämpligt).

2. Vilka ändamålen är med varje enskild personuppgiftsbehandling.

3. En beskrivning av kategorierna av registrerade.

4. En beskrivning av kategorierna av personuppgifter.

5. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

6. Om personuppgifterna bli överförda till ett tredjeland eller en internationell organisation, samt en identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

7. De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter (om det möjligt att ange detta).

8. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (om det möjligt att ange detta).

Registerförteckning för personuppgiftsbiträden

Om företaget är personuppgiftsbiträde måste registerförteckningen innehålla minst följande:

1. Namn och kontaktuppgifter för:
a) personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar,
b) den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare,
c) dataskyddsombudet (om tillämpligt).

2. Vilka kategorier av behandlingar som har utförts för varje personuppgiftsansvariges räkning.

3. Om personuppgifterna bli överförda till ett tredjeland eller en internationell organisation, samt en identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

4. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (om det är möjligt att ange detta).

Minimikrav enligt artikel 30 GDPR

Observera att innehållskraven som förekommer i artikel 30 GDPR enbart utgör minimikraven och det är därmed möjligt att inkludera ytterligare information i registerförteckningen. Exempelvis information om området för behandlingen (HR, IT-avdelningen etc.), lagringsplatsen m.m. Det är inte heller ett krav att ange den rättsliga grunden för behandlingen i registerförteckningen. Däremot måste den rättsliga grunden framgå i informationen om behandlingen av personuppgifterna som blir presenterad för de registrerade. Exempelvis i integritetsmeddelandet som företaget kan publicera på sin officiella webbplats.

Något som är viktigt att tänka på är att inte registrera några personuppgifter i registerförteckningen (utöver personuppgifter tillhörande företagets företrädare, eventuella kontaktpersoner och dataskyddsombudet, som krävs enligt minimikraven).

Principen om lagringsminimering

Vi skriver och granskar avtal till fasta priser

Gratis juridikskolor

Vi driver olika gratis juridikskolor för företagare på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

Skillnaden mellan subjektiva och objektiva personuppgifter enligt GDPR