Artikel 30 – Register över behandling

Denna guide är till stöd för efterlevnad av Dataskyddsförordningens artikel 30 och till stöd för att upprätta ett Artikel 30-register.
Innehållsförteckning
      Visa mer/mindre

      Dataskyddsförordningen (GDPR) är en EU-förordning och gäller som svensk lag. Förordningen innehåller 99 artiklar och gäller lika över hela EU.

      I denna guide ska vi enbart titta på artikel 30Artikel 30 innebär att nästan alla företag, organisationer och föreningar måste hålla ett register över sina personuppgiftsbehandlingar. Guiden innehåller vad Artikel 30-registret behöver innehålla och hur ni kan utforma ett sådant register.

      Vi inleder med principer och reglerna för området och går sedan in på vad registret ska innehålla och hur det kan upprättas. Avslutningsvis finner ni lagtexten om artikel 30.

      Dataskyddsförordningen bygger på ett antal grundläggande principer som kan sägas utgöra kärnan i förordningen. Principerna gäller för all personuppgiftsbehandling. Tänk alltid på dessa principer när du arbetar med personuppgifter.

      Personuppgiftsansvariga

      • Måste ha stöd i dataskyddsförordningen för att få behandla personuppgifter
      • Får bara samla in personuppgifter för specifika, särskilt angivna och berättigade ändamål
      • Får inte behandla fler personuppgifter än vad som behövs för ändamålen
      • Ska se till att personuppgifterna är riktiga
      • Ska radera personuppgifterna när de inte längre behövs
      • Ska skydda personuppgifterna så att inte obehöriga får tillgång till dem och så att de inte förloras eller förstörs
      • Ska kunna visa att och hur ni lever upp till dataskyddsförordningen

      Den sista av principerna utvecklas i artikel 30 som ställer krav på att ni för ett register över vilka personuppgifter ni hanterar, hur ni hanterar dem och varför ni hanterar dem.

      För att reda ut om ert företag behöver ett Artikel 30-register ser vi vad Dataskyddsförordningen säger, så här står det:

      ”De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer, såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10.”

      Skyldigheten att föra register över personuppgiftsbehandling gäller som huvudregel inte för företag och organisationer som har färre än 250 anställda. Skyldigheten gäller dock för företag och organisationer om personuppgiftsbehandlingen:

      • är annat än tillfällig
      • sannolikt kommer att medföra en risk för de registrerades rättigheter och friheter, eller
      • omfattar känsliga personuppgifter enligt artikel 9 eller personuppgifter om lagöverträdelser enligt artikel 10

      De allra flesta organisationer behandlar regelbundet personuppgifter så som löneutbetalningar, inbetalning av medlemsavgifter, registrerar kontaktuppgifter och en rad andra uppgifter. De uppgifter som inte bara tillfälligt registreras eller behandlas måste finnas med i ett register, ett så kallat Artikel 30-register. För att vara säker på att ni lever upp till lagkraven bör ni föra register över all behandling av personuppgifter.

      artikel 9.1 och artikel 10 finns angivet vilka personuppgifter som inte får registreras eller behandlas. Det finns dock undantag från förbuden.

      Artikel 9.1 Behandling av särskilda kategorier av personuppgifter

      Behandling av personuppgifter som avslöjar nedanstående är generellt inte tillåtet.

      • Ras eller etniskt ursprung
      • Politiska åsikter
      • Religiös eller filosofisk övertygelse
      • Medlemskap i fackförening
      • Behandling av genetiska uppgifter
      • Biometriska uppgifter för att entydigt identifiera en fysisk person
      • Uppgifter om hälsa
      • Uppgifter om en fysisk persons sexualliv eller sexuella läggning

      Det finns dock undantag från förbudet. Exempelvis får politiska organisationer hantera medlemsuppgifter, trots att de visar politiska åsikter. Religiösa samfund får hålla medlemsregister trots att de visar religiös övertygelse. Läkarmottagningar får registrera biometriska och genetiska uppgifter när det finns medicinska skäl för det.

      Då måste det föras register över vilka uppgifter som registreras, hur de behandlas och vilken rättslig grund som finns för behandlingen. Det ska finnas med i ett artikel 30-register. Detsamma gäller när ni registrerar sjukdom eller sköter rehabiliteringsärenden. Även när ni använder biometriska uppgifter som fingeravtryck eller irisavkänning för att exempelvis logga in på datorer eller öppna dörrar.

      Artikel 10 Behandling av personuppgifter som rör fällande domar i brottmål samt lagöverträdelser som innefattar brott

      Ett företag får inte föra ett register över fällande domar i brottmål eller lagöverträdelser om inte en myndighet har gett tillstånd eller om det enligt någon lag ger ett företag en sådan rättighet. Så här står det i artikel 10:

      ”Behandling av personuppgifter som rör fällande domar i brottmål och lagöverträdelser som innefattar brott eller därmed sammanhängande säkerhetsåtgärder enligt artikel 6.1 får endast utföras under kontroll av en myndighet eller då behandling är tillåten enligt unionsrätten eller medlemsstaternas nationella rätt, där lämpliga skyddsåtgärder för de registrerades rättigheter och friheter fastställs.”

      Som personuppgiftsansvarig ska ni säkerställa att hela kedjan av behandlingar av personuppgifter i er organisation och hos era underleverantörer sker på ett säkert sätt. Artikel 32 reglerar det mer i detalj, i artikel 5 f står det så här:

      ”De (personuppgifterna) ska behandlas på ett sätt som säkerställer lämplig säkerhet för personuppgifterna, inbegripet skydd mot obehörig eller otillåten behandling och mot förlust, förstöring eller skada genom olyckshändelse, med användning av lämpliga tekniska eller organisatoriska åtgärder (integritet och konfidentialitet).”

      Det innebär att ni måste skydda personuppgifter inklusive registret på ett säkert sätt och ni måste garantera den enskildes rättigheter.

      Tekniskt ska ni säkerställa att ingen utan behörighet kan komma åt personuppgifter som ni hanterar. Det kan ex fordra bättre lås och larm, krypterade hårddiskar, VPN, flerfaktors autentisering, anonymisering eller pseudonymisering av personuppgifter. Upprätta en informationssäkerhetspolicy och riktlinjer för IT-säkerhet.

      Organisatoriskt ska ni säkerställa ansvar, befogenheter och behörigheter. Endast de som behöver personuppgifterna för att fullgöra arbetet ska ha tillgång till de specifika personuppgifter de behöver. Ange i riktlinjer för personuppgiftsbehandling vem som ska ha tillgång till vad och utestäng andra från tillgång till personuppgifter. I Artikel 30-registret anger ni vem som har behörighet till vilka personuppgifter.

      I det fall ni låter underleverantör hantera era personuppgifter behöver ni säkerställa motsvarande säkerhet hos dem via ett Personuppgiftsbiträdesavtal. Du som ansvarig måste i slutändan kunna visa för Integritetsskyddsmyndigheten att du har gjort allt för att säkra dina system. Annars riskerar ni höga sanktionsavgifter.

      Hanterar ni personuppgifter för annat företag eller organisation så är ni personuppgiftsbiträde. I artikel 28 ställs följande krav gällande personuppgiftsbiträde:

      “Om en behandling ska genomföras på en personuppgiftsansvarigs vägnar ska den personuppgiftsansvarige endast anlita personuppgiftsbiträden som ger tillräckliga garantier om att genomföra lämpliga tekniska och organisatoriska åtgärder på ett sådant sätt att behandlingen uppfyller kraven i denna förordning och säkerställer att den registrerades rättigheter skyddas.”

      Se till att ett Personuppgiftsbiträdesavtal upprättas med regler om hur ni ska hantera personuppgifterna för personuppgiftsansvarig. Personuppgiftsbiträde ska föra eget Artikel 30-register.

      Börja med att inventera vilken typ av personuppgifter ni behandlar. Det är bra om alla som hanterar personuppgifter bidrar med vilka personuppgifter som de hanterar, hur de hanterar dem, varför de hanterar dem och vem som har tillgång till de personuppgifterna. Förslagsvis kan ni göra den i mallen som medföljer detta metodstöd. Det är viktigt att alla skriver varje behandling av personuppgifter.

      Högsta ledningen utser ansvarig för att styra processen med inventering och upprättande av registret. Rapportering ska ske till den högsta ledningen (VD/Ordförande) som ansvarar för att personuppgiftsbehandlingen är nödvändig, korrekt och säker.

      Vanliga behandlingar hos företag och organisationer är e-post, anställningsavtal, uppsägningshandlingar, löner, sjukfrånvaro, föräldraledighet, styrelseprotokoll, fakturor, räkningar, kvitton och verifikationer. Kan även vara bilregistrering, kund/medlemsregister, fingeravtrycksavkänning, irisavkänning, resebeställningar och kontaktuppgifter.

      Kommer ni på något ytterligare eller startar ny behandling av personuppgifter eller registrerar ny typ av personuppgifter ska det direkt skrivas in i registret. I riktlinjerna för personuppgiftsbehandling bör ni ange vem som ansvarar för att registret är aktuellt och korrekt samt vem som har behörighet att ändra i registret.

      När ni har gjort inventeringen av vad för slags personuppgiftsbehandlingar ni har, ska ni upprätta själva registret. Vad registret ska innehålla kommer i nästa avsnitt.

      Till denna guide finns ett Excelark med rubrikerna som ska finnas med i ett register, använd gärna det som stöd. Nedan följer 12 punkter om vad registret ska innehålla och som åtföljs av kommentarer för att underlätta ert arbete med registret.

      1. Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet

      Personuppgiftsansvarig är inte en person (endast om företaget är en enskild firma). Om ni är ett aktiebolag, handelsbolag, kommanditbolag eller annan organisation så är det den som ska anges. Ange därefter kontaktuppgifter till företaget/organisationen. Om ni är två personuppgiftsansvariga, så ska båda företagen/organisationerna anges.

      Därefter anger ni företrädaren för personuppgiftsansvarig. Oftast den som är företagets/organisationens högste ansvarige. I ett aktiebolag är det normalt VD.

      Om ni har ett dataskyddsombud så ska även den personen anges. Skyldighet att ha dataskyddsombud finns ifall ni hanterar en stor massa av känsliga personuppgifter enligt tidigare nämnda artikel 9.1. Kan exempelvis vara en läkarmottagning, facklig organisation, idrottsförening eller en kyrka.

      2. Ändamålen med behandlingen

      Ni ska kunna beskriva varför behandlingen av personuppgifter sker. Är det kontaktuppgifter till kund så är det kanske för att ni ska kunna kontakta rätt person hos kunden. Skriv exempelvis kontaktuppgifter kund och förklara sedan varför ni behöver de uppgifterna. Är det sjukfrånvaroregistrering då ska det beskrivas med en rubrik och en kort beskrivning. Exempelvis att det sker direkt i ett datasystem eller att anställda anmäler sjukfrånvaro via telefon och att mottagaren registrerar frånvaron i ert interna system (ange vilket). Det behövs inte långa beskrivningar. Behöver sjukdomen i sig registreras eller räcker det med beräknad dag för återkomst? Är det återinsjuknande inom sju dagar kanske ni behöver veta att det är samma sjukdom så att inte en ytterligare karensdag dras. Är det under en rehabiliteringsprocess så kan vissa uppgifter vara viktiga att registrera. Kännedom om sjukdomar hos enskilda anställda anses vara känsliga personuppgifter och ska skyddas extra noga. Se artikel 9.

      3. En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter

      Ange i registret vilken kategori som personen tillhör. Är det den egna personalen eller är det andra som kanske finns i ett kund- eller medlemsregister hos er. De kallas för registrerade. Varje enskild individ kallas för “registrerad” i lagen. Ni ska också ange vilken typ av uppgifter ni registrerar. Exempelvis sjukfrånvaro hos personal, kontaktuppgifter till kund eller medlem. Även det personalen registrerar dagligen som e-post, affärskontakter, eller automatiska registringar som IP-nummer och telefonnummer ska upptas i Artikel 30-registret.

      4. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer

      Ange kategorier av mottagare, exempelvis extern lönehantering eller medlemsregister. Skriv in ifall ni regelbundet skickar eller kommer skicka uppgifter till mottagare i tredjeland. Tredjeland innebär en mottagare utanför EU/EES-länder, exempelvis USA, Thailand eller Sydafrika. Det gäller även om ni är med i någon internationell organisation och regelbundet skickar uppgifter till den, exempelvis namn och e-postadresser till konferensdeltagare, medlemsregister, kontaktuppgifter till ansvariga. För att få överföra personuppgifter till tredjeland ska kraven enligt förordningens kapitel 5 uppfyllas.
      Det kom en dom från EU-domstolen sommaren 2020, SCHREMS II-domen. Den förbjuder att via molntjänster lämna ut uppgifter till USA. Se till att ni får en bedömning av en GDPR-expert eller dataskyddsombud om hur det ser ut hos er.

      5. Dokumentationen av lämpliga skyddsåtgärder gällande utlämnande av personuppgifter till tredjeland

      SCHREMS II-domen påverkar vad som är tillåtet och vad som är lämpliga skyddsåtgärder. Förslagsvis tar ni kontakt med en GDPR-expert eller ert dataskyddsombud. Det är viktigt att följa vad Europeiska dataskyddsstyrelsen kommer göra, gällande effekterna av detta beslut.

      6. Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter

      Generellt gäller att personuppgifter ska raderas så snart de har behandlats. När personuppgifter behandlas måste ni, enligt artikel 6, ha en laglig grund att behandla dem. Om ni inte har en laglig grund så får ni inte behandla personuppgifterna.

      Ni bör ha riktlinjer för personuppgiftsbehandling med angivna tidsgränser för hur länge olika kategorier av personuppgifter får sparas. Sätt exempelvis tidsbegränsning på hur länge e-post får sparas, förslagsvis högst tre månader. Skriv gärna en e-postrekommendation om användandet av personuppgifter. Skriv in att när kund-eller leverantörsrelationer avslutas ska personuppgifter till dem raderas från allt utom bokföringsunderlaget (eller annat som enligt lag måste bevaras längre). När ni arbetar med projekt som innehåller personuppgifter så är huvudregeln att personuppgifterna ska raderas omedelbart efter projektet är slutfört.

      Ibland finns det uppgifter som måste sparas för längre tider. Det kan vara löneuppgifter och underlag till bokslut. Då gäller andra lagar, exempelvis Bokföringslagen, att bokföringsunderlag måste sparas i sju år. Artikel 6 gäller även i samband med detta.

      Ibland ska vissa uppgifter arkiveras för alltid och då måste ni ha en laglig grund för det. Då måste ni återigen följa artikel 6, ange rättslig grund till varför ni sparar uppgifterna.

      7. Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1

      Alla organisationer som hanterar personuppgifter måste vidta tekniska och organisatoriska åtgärder för att minska risken för personuppgiftsincidenter. Dataskyddsförordningens artikel 32 reglerar och ger vägledning för detta, se nedan.

      Artikel 32 Säkerhet i samband med behandlingen

      1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt

      1. pseudonymisering och kryptering av personuppgifter,
      2. förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
      3. förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
      4. ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

      I registret ska det finnas en allmän beskrivning av vilka åtgärder ni har vidtagit för att säkra personuppgifterna. Här är några av de frågor ni bör ställa kring säkerheten:

      • Använder ni krypterad e-post och andra krypterade tjänster?
      • Är dörrar låsta till kontor och skåp där personuppgifter förvaras?
      • Använder ni VPN?
      • Är era system skyddade med den senaste tekniken?
      • Använder ni servrar hos någon annan?
      • Hur har ni säkrat upp att personuppgifter på servrar hos externa leverantörer inte kan kommas åt av obehöriga?
      • Är ni och de externa leverantörerna säkrade mot cyberattacker?
      • Testar ni regelbundet säkerheten? Beskriv i så fall hur.
      • Har ni annan utomstående personal i lokalerna, exempelvis städare och väktare?
      • Hur undviker ni att obehöriga får del av era personuppgifter?
      • Har ni städat undan personuppgifter från skrivborden?
      • Är datorer avstängda eller låsta, lösenordskyddade när användaren inte är där?
      • Hur skyddar ni de registrerades uppgifter?

      Sanktionsavgifterna är väldigt höga i det fall personuppgifter kommer i orätta händer, eller riskerar att göra det. Det är klokare att investera i bättre skydd än att betala sanktionsavgifter. För en återkommande diskussion med ert dataskyddsombud, IT-säkerhetsexpert eller informationssäkerhetsexpert om vad som krävs och de senaste tekniska lösningarna för att ständigt förbättra säkerheten.

      Ni hittar bra information om informationssäkerhet på Myndigheten för samhällsskydd och beredskaps (MSB) hemsida.

      8. Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:

      1. Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.
      2. De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
      3. I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
      4. Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

      Ovanstående omfattar de företag, personuppgiftsbiträden, som lagrar eller behandlar personuppgifter åt personuppgiftsansvariga. Personuppgiftsbiträdet ska också ha ett Artikel 30-register. Det krävs ett personuppgiftsbiträdesavtal förutom själva affärsavtalet. Har ni exempelvis lagt ett kundregister hos ett dataföretag för behandling så måste ni ha kontroll på hur dom använder uppgifterna.

      Reglera i personuppgiftsbiträdesavtalet att de inte får sälja uppgifterna eller använda dom i andra syften än det ni har kommit överens om. Ni måste också ha kontroll på ifall de har underbiträden. Det kan vara att ert personuppgiftsbiträde har servrar hos ett annat företag. I artikel 24-29 i förordningen kan ni läsa mer om kraven.

      9. De register som avses i punkterna 1 och 2 (se allt ovan) ska upprättas skriftligen, inbegripet i elektronisk form

      Som bilaga till denna guide finns ett exempel på en uppställning i Excel hur ett skriftligt register ska se ut. Ett Excelark fungerar utmärkt men det kan också göras i IT-system, Sharepoint eller annat. Observera att registret ska finnas i elektronisk form, då ni måste kunna skicka underlaget elektroniskt till tillsynsmyndigheten när de så begär. Registret ska också finnas tillgängligt för dataskyddsombudet, om ni har ett. Som betonats flera gånger så är det viktigt att begränsa vem som har tillgång till registret och vem som löpande ska hålla registret aktuellt och korrekt.

      10. På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten

      Som beskrivet ovan så är det viktigt att se till att registret alltid är uppdaterat och alltid finns tillgängligt för Integritetsskyddsmyndigheten och i förekommande fall dataskyddsombudet. Lämpligt är att organisationens högsta ansvarige, VD eller ordförande, är uppdaterade på vad registret innehåller, att det är korrekt och aktuellt. Det är de som hålls ansvariga för den personuppgiftsansvariges (organisationens) räkning. Utöver det ska ledningen hållas informerad.

      11. Skäl 82

      För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

      Enligt ovanstående är ni skyldiga att föra register och ni är skyldiga att samarbeta med myndigheterna. Vid efterlevandekontroll eller annan inspektion ska ni kunna visa upp ett aktuellt och korrekt Artikel 30-register. Då kravet på att föra register och att kunna uppvisa ett register återkommer i flera punkter är det lätt att förstå att lagstiftarna ser mycket allvarligt på det. Som vi gått igenom ska Artikel 30-register innehålla följande:

      • Uppgifter om personuppgiftsansvarige
      • Vem som är ansvarig
      • Kategorier av personuppgifter
      • Kategorier av registrerade
      • Vilka personuppgifter som behandlas
      • Varför de behandlas och laglig grund för det
      • När de raderas
      • Vem som har behörighet
      • Hur ni skyddar uppgifterna
      • Personuppgiftsbiträde
      • Överlämnande av uppgifter till tredjeland
      • Det ska kunna granskas av tillsynsmyndighet och saknas registret eller uppgifter i registret kommer sannolikt sanktionsavgiften bli hög. Utöver de obligatoriska uppgifterna kan registret innehålla frivilliga uppgifter enligt nedan.

      12. Frivilliga uppgifter

      Till ert eget stöd kan det vara bra att skriva in ytterligare uppgifter i Artikel 30-registret. De kompletterar de obligatoriska uppgifterna. Här är några tips.

      1. Då alla har lite olika arbetsuppgifter och behandlar personuppgifter på olika sätt, skriver ni förslagsvis in ansvarig för respektive behandling.
      2. Ni kan också tillföra enhet/avdelning om ni är ett större företag eller organisation.
      3. Sätt datum för när det är inlagt och om det finns en tidsbegränsning eller om uppgifterna löper tillsvida.
      4. Ni bör också skriva in vilken laglig grund ni har för behandlingen.
      5. Skriv gärna in vilket verktyg ni använder för att behandla personuppgifterna. Är det e-post typ Outlook, Office 365 eller är det något annat datasystem.
      6. Skriv in om ni har ett eller flera personuppgiftsbiträdesavtal och när de tecknades. Bra att ha koll på och när de behöver uppdateras.

      Se till att hålla registret uppdaterat och underhållet hela tiden. Att regler och rutiner stämmer med vad som står i registret. Att ansvariga personer hålls aktuella. Att innehållet och hanteringen överensstämmer med vad som angivits i registret. Utse gärna en ansvarig för att hålla registret uppdaterat.

      Register över behandling

      1. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:
      a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
      b) Ändamålen med behandlingen.
      c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
      d) De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.
      e) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
      f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
      g) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

      2. Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:
      a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.
      b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
      c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
      d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

      3. De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.

      4. På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.

      5. De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt lagöverträdelser som innefattar brott, som avses i artikel 10.

      För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

      Guide
      +
      Excel
      1

      Specifikation

      • Artikel 30 – Register över behandling
      • 7
      • Guide
      • 1
      • Excel
      Välj din plan

      Med vårt abonnemang får du obegränsad tillgång till alla våra dokument och guider