Register över behandling

Skyldigheten att upprätta ett register gäller alla organisationer med över 250 arbetstagare. En mindre organisation ska upprätta ett register om

  • behandling av personuppgifter, som ligger på organisationens ansvar, sannolikt äventyrar den registrerades rättigheter och friheter
  • behandlingen av personuppgifter i organisationen inte är sporadisk eller
  • uppgifter som hör till särskilda kategorier av uppgifter eller personuppgifter som gäller brottmålsdomar eller förseelser behandlas i organisationen.

Registret är för organisationens eget bruk

Registret är ett internt dokument för organisationen. Det fungerar som ett hjälpmedel för att få en bild av behandlingen av personuppgifter och dess syfte är att bidra till att visa att personuppgifter behandlas enligt dataskyddslagstiftningen. Registret är en väsentlig del av fullgörandet ansvarsskyldigheten.

Tillsynsmyndigheten kan vid behov bedöma lagenligheten i uppgiftsbehandlingsåtgärderna utifrån registret. Därför ska registret på begäran överlämnas till tillsynsmyndigheten.

De registrerade ska informeras om behandlingen av personuppgifter enligt anvisningen om information. Registret över behandling är inte avsett att användas för direkt informering till en registrerad, men det kan utnyttjas i informationen till de registrerade.

Vilka uppgifter ska registret omfatta?

Dataombudsmannens byrå har upprättat en modell över hur registret kan upprättas. Det finns separata modellunderlag för personuppgiftsansvariga och personuppgiftsbiträden. Modellen är avsedd för frivillig användning och det är inte obligatoriskt att använda den för att upprätta registret.

Organisationerna kan upprätta registret på ett sätt som de finner ändamålsenligt, så länge som de nödvändiga uppgifterna framgår av registret. Nedan beskrivs vilka uppgifter en personuppgiftsansvarig och ett biträde ska uttrycka i registret.

Läs mer:

Den personuppgiftsansvariges register över behandling  
Ett personuppgiftsbiträdes register över behandling

Organisaatiolla on velvollisuus laatia kirjallinen kuvaus sen toteuttamasta henkilötietojen käsittelystä. Tätä kuvausta kutsutaan selosteeksi käsittelytoimista.

Velvollisuus laatia seloste käsittelytoimista koskee kaikkia yli 250 työntekijän organisaatioita. Tätä pienemmän organisaation on laadittava seloste, jos

  • organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksill

Tietosuojavaltuutetun toimisto on laatinut mallin siitä, millä tavalla selosteen voi toteuttaa. Rekisterinpitäjälle ja henkilötietojen käsittelijälle on erilliset mallipohjat. Malli on tarkoitettu vapaaehtoisesti hyödynnettäväksi tueksi, eikä sitä ole pakko käyttää selosteen tekoon.

Organisaatiot voivat laatia selosteen tarkoituksenmukaiseksi katsomallaan tavalla, kunhan tarvittavat tiedot käyvät selosteesta selkeästi ilmi. Alla on kuvattu, mitä tietoja rekisterinpitäjän ja käsittelijän tulee ilmaista selosteessa.

Organisaatiolla on velvollisuus laatia kirjallinen kuvaus sen toteuttamasta henkilötietojen käsittelystä. Tätä kuvausta kutsutaan selosteeksi käsittelytoimista.

Velvollisuus laatia seloste käsittelytoimista koskee kaikkia yli 250 työntekijän organisaatioita. Tätä pienemmän organisaation on laadittava seloste, jos

  • organisaation vastuulla oleva henkilötietojen käsittely todennäköisesti aiheuttaa riskin rekisteröidyn oikeuksille ja vapauksille
  • henkilötietojen käsittely organisaatiossa ei ole satunnaista tai
  •  

Tietosuojavaltuutetun toimisto on laatinut mallin siitä, millä tavalla selosteen voi toteuttaa. Rekisterinpitäjälle ja henkilötietojen käsittelijälle on erilliset mallipohjat. Malli on tarkoitettu vapaaehtoisesti hyödynnettäväksi tueksi, eikä sitä ole pakko käyttää selosteen tekoon.

Organisaatiot voivat laatia selosteen tarkoituksenmukaiseksi katsomallaan tavalla, kunhan tarvittavat tiedot käyvät selosteesta selkeästi ilmi. Alla on kuvattu, mitä tietoja rekisterinpitäjän ja käsittelijän tulee ilmaista selosteessa.