Som personuppgiftsansvarig eller personuppgiftsbiträde är ni skyldiga att föra ett register över era behandlingar av personuppgifter. Registret ska upprättas skriftligen, finnas tillgänglig i elektronisk format och hållas uppdaterad.
Hos en personuppgiftsansvarig ska registret innehålla:
- namn och kontaktuppgifter för den personuppgiftsansvariga, den personuppgiftsansvarigas företrädare samt dataskyddsombudet
- ändamålen med behandlingen. Ändamålen måste vara specifika och konkreta. Det räcker till exempel inte att ange ”kontroller” som ändamål för loggning och övervakning, utan syftet med kontrollen ska också anges. Syftet med kontrollen kan vara övervakning av säkerhets- eller tekniska skäl eller uppföljning av interna regler.
- en beskrivning av kategorierna av registrerade som till exempel anställda, kunder eller medlemmar och kategorierna av personuppgifter som till exempel namn, kön, inkomst eller personnummer.
- de kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut som till exempel en leverantör eller myndigheter.
- i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation
- vid möjlighet, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
- vid möjlighet, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.
Hos ett personuppgiftsbiträde ska registret innehålla:
- namn och kontaktuppgifter för personuppgiftsbiträdet, för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, för den personuppgiftsansvarigas och personuppgiftsbiträdets företrädare samt för personuppgiftsbiträdets dataskyddsombud
- de typer av behandlingar som har utförts för varje personuppgiftsansvarigs räkning som till exempel ärendehantering
- i tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation
- om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder.