» 3.1.4 Behandlingsregister enligt art 30

Behandlingsregister enligt art 30

Ett behandlingsregister eller registerförteckning är en sammanställning med information om alla era personuppgiftsbehandlingar. Det kan beskrivas som en kartläggning över alla verksamhetsprocesser där er organisation använder personuppgifter.

 

Genom att upprätta ett behandlingsregister uppfyller ni inte bara kraven i GDPR – ni får också en överblick över många av de centrala processerna inom er organisation. Det förenklar i sin tur resten av ert arbete.

Ett uppdaterat behandlingsregister bidrar dessutom till ökad transparens och gör det enklare för er att visa att ni följer förordningens krav, t.ex. att ni respekterar individens integritet och rättigheter.

 

Vad ska ingå i behandlingsregistret?

GDPR innehåller krav på vilken information som ska finnas om varje behandling i behandlingsregistret:

  • Kontaktuppgifter till den personuppgiftsansvarige (och DSO)
  • Behandlingens ändamål
  • Vilka registrerade och personuppgifter som berörs
  • Lagringstiden
  • Vem personuppgifterna lämnas ut till
  • Eventuella tredjelandsöverföringar
  • Vilka tekniska och organisatoriska säkerhetsåtgärder som vidtagits

Personuppgiftsbiträdets behandlingsregister

Även personuppgiftsbiträden är skyldiga att föra register över de kategorier av behandling som utförs för de personuppgiftsansvariga. Biträdets register ska innehålla:

  • Kontaktuppgifter till personuppgiftsbiträdet och de personuppgiftsansvariga som behandlingen (och DSO)
  • Vilka behandlingar som utförs för varje personuppgiftsansvarig
  • Eventuella tredjelandsöverföringar
  • Vilka tekniska och organisatoriska säkerhetsåtgärder som vidtagits

Undantag

Ett av målen med GDPR är att inte ställa för hårda krav på små företag. Organisationer som har färre än 250 anställda behöver därför inte ha ett behandlingsregister utom i vissa fall. Ofta kommer dock även små företag att ha någon sådan behandling som behöver registerföras. Ett exempel är behandling som har med personaladministration att göra, eftersom den inte är tillfällig. IMY rekommenderar alla personuppgiftsansvariga att upprätta ett behandlingsregister, om inte annat för att förenkla det interna arbetet.

Rekommenderade artiklar

Scroll to Top