Ett personuppgiftsbiträdes register över behandling
Skyldigheten att upprätta ett register gäller alla organisationer med över 250 arbetstagare. En mindre organisation ska upprätta ett register om
- behandling av personuppgifter, som ligger på organisationens ansvar, sannolikt äventyrar den registrerades rättigheter och friheter
- behandlingen av personuppgifter i organisationen inte är sporadisk eller
- uppgifter som hör till särskilda kategorier av uppgifter eller personuppgifter som gäller brottmålsdomar eller förseelser behandlas i organisationen.
Med personuppgiftsbiträde avses en fysisk person, juridisk person, myndighet, ett ämbetsverk eller ett annat organ som behandlar personuppgifter för den personuppgiftsansvariges räkning.
Med personuppgiftsbiträde avses inte arbetstagare som arbetar under den personuppgiftsansvarige (eller ett personuppgiftsbiträde), utan personuppgiftsbiträdet är i typfallet en annan organisation som tillhandahåller databehandlingstjänster för den personuppgiftsansvariges räkning utifrån ett avtal.
Modellunderlag för personuppgiftsbiträden: register över behandling (Excel, 18 kB)
I det register som upprättas av ett personuppgiftsbiträde ska alla följande uppgifter ingå
Ange i registret namn och kontaktuppgifter för biträdet, en eventuell företrädare för biträdet och dataskyddsombudet. Redogör också för de personuppgiftsansvariga och eventuella företrädare för de personuppgiftsansvariga för vars räkning personuppgiftsbiträdet verkar.
Med företrädare för biträdet avses en fysisk person i Europeiska unionen eller en juridisk person som personuppgiftsbiträdet skriftligen utsett för att verka för hans eller hennes räkning. En företrädare företräder biträdet då handlar om skyldigheter för biträdet utifrån dataskyddsförordningen.
Ett dataskyddsombud är en person som biträder den personuppgiftsansvarige, har specialkompetens om dataskyddslagstiftningen och praxis inom området och övervakar efterlevnaden av dataskyddsförordningen i organisationen.
Beskriv i registret hurudan typ av behandling som genomförs i organisationen för den personuppgiftsansvariges räkning. Behandlingskategorierna beskrivs separat för varje personuppgiftsansvarig.
Ange i registret om uppgifter överförs till tredjeländer eller internationella organisationer. Om detta är fallet, ange till vilka länder och till vilken organisation. Registret ska också redogöra för den punkt i dataskyddsförordningen och motsvarande mekanism som möjliggör överföringen av uppgifter, till exempel ett beslut av kommissionen enligt artikel 45, för företaget bindande regler enligt artikel 47 eller standardklausuler som gäller dataskydd enligt artikel 46.2.
Om överföringen till tredjeländer eller en internationell organisation grundar sig på en specialsituation enligt artikel 49.2, ska dokumentationen av lämpliga skyddsåtgärder beskrivas i registret.
Förklara i registret till exempel på vilket sätt uppgifterna skyddats från utomstående, hur åtkomsträttigheterna begränsats inom organisationen och på vilket sätt användningen övervakas. Organisationen kan till exempel utarbeta en modell över följderna av missbruk, vilka kan länkas till denna punkt i registret. Också annan motsvarande organisationsintern information kan fogas hit.
Om registret innehåller en beskrivning av detaljerad information om till exempel dataskyddspraxis eller om sådan länkas till registret, ska du se till att skydda registret, så att informationen inte når utomstående.