Registerkrav
Såväl personuppgiftsansvarig som biträde måste enligt GDPR föra register över den behandling av personuppgifter som utförs.
Personuppgiftsansvarigas register måste innehålla följande:
en förteckning över samtliga kategorier av personuppgifter som lagras (inkluderat en beskrivning av kategorierna av registrerade och personuppgifter), ackompanjerat av information rörande ändamålen med behandlingen,
kontaktuppgifter,
förutsedda tidsfrister för radering för varje kategori (om möjligt),
de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut (exempelvis underleverantörer) med en angivelse av huruvida de befinner sig inom EU/EES eller i tredje land. Om några underleverantörer befinner sig i tredje land ska det tredje landet anges samt i tillämpliga fall de ytterligare lämpliga skyddsåtgärder som vidtagits,
en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder som vidtagits (om möjligt).
När företaget, organisationen eller myndigheter agerar personuppgiftsbiträde behöver registret innehålla;
namn och kontaktuppgifter
namn och kontaktuppgifter för varje personuppgiftsansvarig för vars räkning företaget, organisationen eller myndigheten är biträde,
de kategorier av personuppgifter som behandlas å den ansvariges räkning,
om möjligt en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder som vidtagits samt
i tillämpliga fall information om överföringar till tredje land