Register över behandling
Skyldigheten att upprätta ett register gäller alla organisationer med över 250 arbetstagare. En mindre organisation ska upprätta ett register om
- behandling av personuppgifter, som ligger på organisationens ansvar, sannolikt äventyrar den registrerades rättigheter och friheter
- behandlingen av personuppgifter i organisationen inte är sporadisk eller
- uppgifter som hör till särskilda kategorier av uppgifter eller personuppgifter som gäller brottmålsdomar eller förseelser behandlas i organisationen.
Registret är för organisationens eget bruk
Registret är ett internt dokument för organisationen. Det fungerar som ett hjälpmedel för att få en bild av behandlingen av personuppgifter och dess syfte är att bidra till att visa att personuppgifter behandlas enligt dataskyddslagstiftningen. Registret är en väsentlig del av fullgörandet ansvarsskyldigheten.
Tillsynsmyndigheten kan vid behov bedöma lagenligheten i uppgiftsbehandlingsåtgärderna utifrån registret. Därför ska registret på begäran överlämnas till tillsynsmyndigheten.
De registrerade ska informeras om behandlingen av personuppgifter enligt anvisningen om information. Registret över behandling är inte avsett att användas för direkt informering till en registrerad, men det kan utnyttjas i informationen till de registrerade.
Vilka uppgifter ska registret omfatta?
Dataombudsmannens byrå har upprättat en modell över hur registret kan upprättas. Det finns separata modellunderlag för personuppgiftsansvariga och personuppgiftsbiträden. Modellen är avsedd för frivillig användning och det är inte obligatoriskt att använda den för att upprätta registret.
Organisationerna kan upprätta registret på ett sätt som de finner ändamålsenligt, så länge som de nödvändiga uppgifterna framgår av registret. Nedan beskrivs vilka uppgifter en personuppgiftsansvarig och ett biträde ska uttrycka i registret.
Läs mer:
Den personuppgiftsansvariges register över behandling
Ett personuppgiftsbiträdes register över behandling