En personuppgiftsansvarig kan ha skyldighet att föra register över behandlingen av personuppgifter. Dessutom kan även ett personuppgiftsbiträde ett sådant ansvar. Det finns fördelar med att upprätta ett sådant register, även fast det kan vara tidskrävande att göra. Exempelvis får företaget en bättre överblick över sin behandling av personuppgifter. En registrerad har rätt att få veta vilka uppgifter som företaget behandlar om individen och därför kan det underlätta att ha ett sådant register. Dessutom behöver företag ha det enligt GDPR i vissa fall.
Personuppgiftsansvarig har skyldighet att föra register i vissa fall
Artikel 30 i GDPR innehåller information om vad ett sådant register ska innehålla. Nedan följer en sammanfattning av innehållskravet:
- Kontaktuppgifter som den personuppgiftsansvarige har. Detsamma gäller för dataskyddsombudet. Dessutom behöver det framgå om det finns ett gemensamt personuppgiftsansvar.
- Ändamålet och syftet med behandlingen ifråga ska vara beskriven i registret, inklusive en beskrivning av vilka kategorier av registrerade och kategorier av personuppgifter som behandlingen avser. Exempel på kategorier av registrerade är: Anställda, kunder, konsulter m.fl. Exempel på kategorier av personuppgifter är: namn, personnummer, e-post, telefonnummer, adress m.fl.
- Vilken rättslig grund som ligger till grund för behandlingen.
- Det ska framgå om personuppgifterna kommer bli överförda till ett tredje land (land utanför EU/EES-länderna). Detsamma gäller om personuppgifterna kommer överföras till ett personuppgiftsbiträde.
- Företag bör uppge hur ofta personuppgifterna blir gallrade. Med andra ord hur ofta företaget raderar personuppgifter som de inte längre behöver för det syfte de hämtades in för.
- Vilka tekniska och organisatoriska åtgärder som företaget har vidtagit för att personuppgifterna ska bli behandlade på ett säkert och lagligt sätt.
Ett sådant register måste vara skriftligt. Dessutom ska personuppgiftsbiträdesavtal vara skriftliga för att gälla. Om företag behöver ha ett dataskyddsombud, ska det också bli registrerat hos IMY. Därefter behöver företaget också publicera kontaktuppgifterna till personen offentligt, eftersom registrerade och medarbetare har rätt att kontakta personen angående frågor om personuppgiftsbehandling avseende den registrerade. Detta kan exempelvis bli publicerat i integritetspolicyn, som bör framgå på företagets hemsida.
