Registerförteckning

Både personuppgiftsansvariga och personuppgiftsbiträden ska föra en registerförteckning över sina personuppgiftsbehandlingar.

Registerförteckning enligt artikel 30 GDPR

Detta krav framgår av artikel 30 GDPR. Observera att den ska vara skriftlig och tillgänglig i elektroniskt format, exempelvis i en Excel-fil. Dessutom måste företaget hålla den uppdaterad över tid.

På begäran av tillsynsmyndigheten, ska företaget uppvisa registerförteckningen. Genom denna, ska tillsynsmyndigheten kunna förstå hur och varför företaget behandlar personuppgifterna.

Det finns vissa undantag från skyldigheten på att upprätta en registerförteckning, men det är mycket få företag och organisationer som undantagen gäller för. Därför rekommenderar tillsynsmyndigheten att alla företag och organisationer för register över sina behandlingar av personuppgifter i en registerförteckning.

Till exempel behöver ett företag inte alltid föra ett register om det är en tillfällig behandling. Detsamma gäller om företaget har färre än 250 anställda. Men trots detta, kan företag i vissa fall behöva föra register ändå, till exempel om företaget behandlar personuppgifter som är känsliga enligt GDPR eller om behandlingen inte är tillfällig. Exempel på en behandling som inte är tillfällig, är behandling av personuppgifter som sker för att kunna utbetala lön till anställda.

Innehåll i en registerförteckning

Innehållet i registerförteckningen skiljer sig åt beroende på om företaget är personuppgiftsansvarig eller personuppgiftsbiträde. Artikel 30 GDPR innehåller information om vad en registerförteckning minst måste innehålla.

Registerförteckning för personuppgiftsansvariga

Om företaget är personuppgiftsansvarig måste registerförteckningen innehålla minst följande:

1. Namn och kontaktuppgifter till:
a) den Personuppgiftsansvarige (samt i tillämpliga fall gemensamt personuppgiftsansvariga),
b) den personuppgiftsansvariges företrädare,
c) dataskyddsombudet (om tillämpligt).

2. Vilka ändamålen är med varje enskild personuppgiftsbehandling.

3. En beskrivning av kategorierna av registrerade.

4. En beskrivning av kategorierna av personuppgifter.

5. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.

6. Om personuppgifterna bli överförda till ett tredjeland eller en internationell organisation, samt en identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

7. De förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter (om det möjligt att ange detta).

8. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (om det möjligt att ange detta).

Registerförteckning för personuppgiftsbiträden

Om företaget är personuppgiftsbiträde måste registerförteckningen innehålla minst följande:

1. Namn och kontaktuppgifter för:
a) personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar,
b) den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare,
c) dataskyddsombudet (om tillämpligt).

2. Vilka kategorier av behandlingar som har utförts för varje personuppgiftsansvariges räkning.

3. Om personuppgifterna bli överförda till ett tredjeland eller en internationell organisation, samt en identifiering av tredjelandet eller den internationella organisationen och dokumentationen av lämpliga skyddsåtgärder.

4. En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (om det är möjligt att ange detta).

Minimikrav enligt artikel 30 GDPR

Observera att innehållskraven som förekommer i artikel 30 GDPR enbart utgör minimikraven och det är därmed möjligt att inkludera ytterligare information i registerförteckningen. Exempelvis information om området för behandlingen (HR, IT-avdelningen etc.), lagringsplatsen m.m. Det är inte heller ett krav att ange den rättsliga grunden för behandlingen i registerförteckningen. Däremot måste den rättsliga grunden framgå i informationen om behandlingen av personuppgifterna som blir presenterad för de registrerade. Exempelvis i integritetsmeddelandet som företaget kan publicera på sin officiella webbplats.

Något som är viktigt att tänka på är att inte registrera några personuppgifter i registerförteckningen (utöver personuppgifter tillhörande företagets företrädare, eventuella kontaktpersoner och dataskyddsombudet, som krävs enligt minimikraven).

Vi skriver och granskar avtal till fasta priser

Gratis juridikskolor

Vi driver olika gratis juridikskolor för företagare på LinkedIn och Instagram. Dessutom sammanfattar vi intressanta nyheter, svarar på frågor och beskriver vanliga juridiska begrepp. Vi har startat dessa juridikskolor för att vi vill lära ut juridik på ett roligt sätt till företagare.

På vår hemsida och Instagram publicerar vi även olika juridiska quiz. Där kan du testa dina juridiska kunskaper inom olika områden, exempelvis avtalsrätt och GDPR.

Kaka	Varaktighet	Beskrivning
cookielawinfo-checkbox-analytics	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Cookien används för att lagra användarens samtycke till cookies i kategorin "Analytiska cookies".
cookielawinfo-checkbox-necessary	11 månader	Denna cookie ställs in av GDPR Cookie Consent plugin. Kakorna används för att lagra användarens samtycke till cookies i kategorin "Nödvändiga".
viewed_cookie_policy	11 månader	Cookien ställs in av GDPR Cookie Consent plugin och används för att lagra huruvida användaren har godkänt användningen av cookies eller inte. Det lagrar inga personuppgifter.

Kaka	Varaktighet	Beskrivning
_ga	2 år	Denna cookie installeras av Google Analytics. Cookien används för att beräkna besökar-, session-, kampanjdata och hålla reda på webbplatsanvändningen för webbplatsens analysrapport. Denna cookie lagrar information anonymt och tilldelar ett slumpmässigt genererat nummer för att identifiera unika besökare.
_ga_CND1TJSVVT	1 år
_gali	30 sekunder	Denna cookie används av Google Analytics för att avgöra vilka länkar på webbsidan som användaren klickar på.
_gat_gtag_UA_137823009_1	1 minut	Denna cookie ställs in av Google och används för att särskilja användare.
_gid	1 dygn	Denna cookie installeras av Google Analytics. Cookien används för att lagra information om hur besökare använder webbplatsen och hjälper till att skapa en analysrapport om hur det går för webbplatsen. De insamlade uppgifterna inklusive antalet besökare, källan där de kommer ifrån och de besökta sidorna framgår i anonym form.