Det finns företag som inte behöver upprätta register enligt undantag i GDPR. Företag ska enligt huvudregeln upprätta ett register enligt GDPR om den personuppgiftsansvarige och bland annat vilka personuppgifter som blir behandlade. Däremot gäller detta inte alla företag. Dessutom behöver enbart vissa företag ha ett dataskyddsombud. För att behöva ha ett dataskyddsombud, måste företaget behandla personuppgifter i stor omfattning. Det ska också vara en del av kärnverksamheten att övervaka personuppgifter systematiskt eller regelbundet. Exempelvis gäller kravet om att ha ett dataskyddsombud för sjukhus, banker och försäkringsbolag.
Företag som inte behöver upprätta register enligt undantag
Företag som har över 250 anställda behöver enligt GDPR upprätta ett register över personuppgiftsbehandlingen. Däremot behöver vissa företag med färre anställda göra det också, i vissa fall. Exempelvis om behandlingen medför en risk för individen vars personuppgifter blir behandlade eller om det omfattar känsliga personuppgifter. Exempel på känsliga personuppgifter är uppgifter om religion och hälsa. Det är en individuell bedömning som måste göras för varje företag och varje enskild behandling, eftersom definitionen inte är självklar när företag behöver upprätta registret, eller inte. Det finns olika grupper av integritetskänsliga personuppgifter, varav känsliga är en av dem.
När ett företag lagrar personuppgifter som inte är tillfälligt, behöver det bli skriftligen beskrivet och registrerat i ett register. Ett praktiskt exempel är när företag behöver administrera löner för medarbetare. Då är syftet att lagra det under en längre period och dessutom brukar det innehålla känsliga personuppgifter, eftersom sjukfrånvaro är det och brukar förekomma registrerat hos företaget.
GDPR är ett viktigt område för företag att följa eftersom det kan uppstå stora ekonomiska konsekvenser annars. Vi på Digitala Juristerna har skapat denna hemsida för att samla information om regelverket på en plats, eftersom det är så mycket information att hålla reda på. På denna hemsida kan du bland annat läsa om nyheter från IMY men även andra motsvarande myndigheter i EU. GDPR gäller för alla företag, myndigheter och organisationer som behandlar personuppgifter i EU/EES-länderna. En EU-förordning går att likställa med en nationell lagstiftning och gäller ordagrant till skillnad från EU-direktiv.
