Registerkrav

Såväl personuppgiftsansvarig som biträde måste enligt GDPR föra register över den behandling av personuppgifter som utförs.

Personuppgiftsansvarigas register måste innehålla följande:

• en förteckning över samtliga kategorier av personuppgifter som lagras (inkluderat en beskrivning av kategorierna av registrerade och personuppgifter), ackompanjerat av information rörande ändamålen med behandlingen,

• kontaktuppgifter,

• förutsedda tidsfrister för radering för varje kategori (om möjligt),

• de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut (exempelvis underleverantörer) med en angivelse av huruvida de befinner sig inom EU/EES eller i tredje land. Om några underleverantörer befinner sig i tredje land ska det tredje landet anges samt i tillämpliga fall de ytterligare lämpliga skyddsåtgärder som vidtagits,

• en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder som vidtagits (om möjligt).

När företaget, organisationen eller myndigheter agerar personuppgiftsbiträde behöver registret innehålla;

• namn och kontaktuppgifter

• namn och kontaktuppgifter för varje personuppgiftsansvarig för vars räkning företaget, organisationen eller myndigheten är biträde,

• de kategorier av personuppgifter som behandlas å den ansvariges räkning,

• om möjligt en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder som vidtagits samt

• i tillämpliga fall information om överföringar till tredje land