Den personuppgiftsansvariges register över behandling
En organisation har en skyldighet att upprätta en skriftlig beskrivning av behandlingen av personuppgifter. Denna beskrivning kallas för register över behandling.
Skyldigheten att upprätta ett register gäller alla organisationer med över 250 arbetstagare. En mindre organisation ska upprätta ett register om
- behandling av personuppgifter, som ligger på organisationens ansvar, sannolikt äventyrar den registrerades rättigheter och friheter
- behandlingen av personuppgifter i organisationen inte är sporadisk eller
- uppgifter som hör till särskilda kategorier av uppgifter eller personuppgifter som gäller brottmålsdomar eller förseelser behandlas i organisationen.
När vissa uppgifter som gäller behandling av personuppgifter utförs av en annan organisation för den personuppgiftsansvariges räkning, ska personuppgiftsbiträdet i fråga beskriva behandlingsåtgärderna för egen del. I så fall kan den personuppgiftsansvarige till registret foga ett referat som utarbetas av biträdet i den utsträckning som den gäller behandling av uppgifter som ligger på den personuppgiftsansvariges ansvar.
Modellunderlag för den personuppgiftsansvarige: register över behandling (Excel, 20 kB)
Det register som upprättas av den personuppgiftsansvarige ska innehålla alla följande uppgifter
Registret ska redogöra för namn och kontaktuppgifter för den personuppgiftsansvarige och en eventuell gemensam personuppgiftsansvarig, en eventuell företrädare för den personuppgiftsansvarige och dataskyddsombudet.
Med personuppgiftsansvarig avses en fysisk eller juridisk person, offentlig myndighet, institution eller annat organ som ensamt eller tillsammans med andra bestämmer ändamålen och medlen för behandlingen av personuppgifter. En personuppgiftsansvarig kan också definieras i lagstiftningen.
Om minst två personuppgiftsansvariga tillsammans bestämmer syftena och medlen för behandlingen, är dessa gemensamma personuppgiftsansvariga. Liksom fallet är för personuppgiftsansvariga, kan gemensamma personuppgiftsansvariga definieras i lagstiftningen.
Med företrädare för den personuppgiftsansvarige avses en fysisk person i Europeiska unionen eller en juridisk person som den personuppgiftsansvarige skriftligen utsett för att verka för hans eller hennes räkning. En företrädare företräder den personuppgiftsansvarige i fråga om skyldigheter för den personuppgiftsansvarige vilka grundar sig på dataskyddsförordningen.
Ett dataskyddsombud är en person som biträder den personuppgiftsansvarige, har specialkompetens om dataskyddslagstiftningen och praxis inom området och övervakar efterlevnaden av dataskyddsförordningen i organisationen.
En organisation ska fastställa ett visst lagligt syfte för alla uppgifter som den börjar behandla i sin verksamhet. Beskriv alla syften separat i registret. Beskrivningen kan göras genom att ange den uppgift som ankommer på den personuppgiftsansvarige och ligger till grund för behandlingen av uppgifter. Syftet ska beskrivas tillräckligt detaljerat. Syftet fastställer de potentiella framtida ändamål för behandlingen av personuppgifter, men också bland annat de personuppgifter som det är nödvändigt att samla in och hur länge dessa ska förvaras.
Med behandling avses alla åtgärder, som riktas mot personuppgifter. Behandling av uppgifter utgörs av till exempel insamling, lagring, ordnande, strukturering, förvaring, redigering, ändring, sökning, enkätanvändning, överlåtelse, samordning, förening, begränsning, avlägsnande eller förstöring av uppgifter.
I registret finns det också skäl att beskrivabehandlingsgrunden enligt dataskyddsförordningen. Behandlingsgrunden och i vissa situationer syftet påverkar bland annat vilka rättigheter enligt dataskyddsförordningen den registrerade har i samband med behandlingen.
Med registrerad avses den fysiska person vars personuppgifter behandlas.
Beskriv i registret vem de registrerade är (t.ex. kunder, arbetstagare, patienter) och hurudana uppgifter om dem som behandlas (t.ex. specifikationsuppgifter, såsom namn, födelsetid, uppgifter om de tjänster som kunden beställt, tillhandahållandet och faktureringen av dessa och så vidare).
Med personuppgifter avses alla uppgifter som anknyter till en fysisk person som identifierats eller kan identifieras. Som en identifierbar fysisk person ses en person som direkt eller indirekt kan identifieras särskilt med hänvisning till en identifierare som ett namn, ett identifikationsnummer, en lokaliseringsuppgift eller onlineidentifikatorer eller en eller flera faktorer som är specifika för den fysiska personens fysiska, fysiologiska, genetiska, psykiska, ekonomiska, kulturella eller sociala identitet.
Med mottagare avses en fysisk person, en juridisk person, en myndighet, ett ämbetsverk eller ett annat organ till vilken eller till vilket personuppgifter överlämnas. Med mottagare avses inte enbart tredje parter, utan mottagarna utgörs vid sidan om helt utomstående personuppgiftsansvariga också av gemensamma personuppgiftsansvariga och personuppgiftsbiträden till vilka personuppgifter överförs eller överlåts.
Beskriv i registret de olika kategorierna av mottagare, inklusive mottagare i tredjeländer eller i internationella organisationer. En mottagare ska ha en lagenlig grund för behandlingen av personuppgifter.
Uttryck kategorierna av mottagare så noggrant som möjligt. Registret ska innehålla en beskrivning av till exempel typen av mottagare (till exempel med en hänvisning till de vidtagna behandlingsåtgärderna), branschen, sektorn och positionen.
I registret är det dock inte nödvändigt att beskriva de myndigheter till vilka personuppgifter överlåts för att utföra ett utredningsarbete som grundar sig på unionsrätten eller lagstiftningen i en medlemsstat, eftersom dessa instanser inte ses som mottagare enligt definitionen i dataskyddsförordningen. Myndigheterna ska behandla uppgifter enligt behandlingssyftet och genom att iaktta dataskyddsbestämmelserna.
Ange i registret om uppgifter överförs till tredjeländer eller internationella organisationer. Om detta är fallet, ange till vilka länder och till vilken organisation. Registret ska också redogöra för den punkt i dataskyddsförordningen och motsvarande mekanism som möjliggör överföringen av uppgifter, till exempel ett beslut av kommissionen enligt artikel 45, för företaget bindande regler enligt artikel 47 eller standardklausuler som gäller dataskydd enligt artikel 46.2.
Om överföringen till tredjeländer eller en internationell organisation grundar sig på en specialsituation enligt andra stycket i artikel 49.1, ska dokumentationen av lämpliga skyddsåtgärder beskrivas i registret.
Registret ska innehålla en beskrivning av de planerade utsatta tiderna för avlägsnande av olika uppgiftskategorier eller kriterierna för att fastställa förvaringstiderna för uppgifterna.
Förvaringstiderna anknyter till principerna om uppgiftsminimering och begränsning av förvaringen. Förvaringstiden för uppgifterna eller kriterierna för att fastställa denna kan bero till exempel på de förvaringstider som föreskrivits i lagen eller de branschvisa uppförandekoderna. Utifrån den fastställda förvaringstiden ska det kunna bedömas hur länge uppgifter om registrerade behandlas. Det är inte tillräckligt att konstatera att personuppgifter kommer att förvaras så länge som det är nödvändigt för att uppnå vissa lagliga syften.
Om olika kategorier av personuppgifter eller uppgifter som behandlas för olika syften har olika förvaringstider, ska dessa beskrivas separat.
Förklara i registret till exempel på vilket sätt uppgifterna skyddats från utomstående, hur åtkomsträttigheterna begränsats inom organisationen och på vilket sätt användningen övervakas. Organisationen kan till exempel utarbeta en modell över följderna av missbruk, vilka kan länkas till denna punkt i registret. Också annan motsvarande organisationsintern information kan fogas hit.
Om registret innehåller en beskrivning av detaljerad information om till exempel dataskyddspraxis eller om sådan länkas till registret, ska du se till att skydda registret, så att informationen inte når utomstående.