Register över personuppgiftsbehandlingar

Alla personuppgiftsansvariga och personuppgiftsbiträden är enligt GDPR skyldiga att upprätthålla ett register över pågående och genomförda personuppgiftsbehandlingar. Registerförteckningen ska alltid finnas uppdaterad och tillgänglig i digital form, och kan komma att efterfrågas av Integritetsskyddsmyndigheten. Kravet på registret finns i artikel 30 i GDPR, där det också framkommer vilken information som ska finnas med i registret om varje behandling.

Nämnden/styrelsen som personuppgiftsansvarig

Alla behandlingar ska finnas i ett gemensamt register och de olika enheterna/verksamheterna behöver ha tillräckliga resurser för att hålla registret kvalitetssäkrat och uppdaterat.

Registret hjälper oss ha kontroll över vilka personupp giftsbehandlingar vi utför i kommunen. Det hjälper oss också att, på ett systematiskt sätt, dokumentera och kontrollera att vi till exempel har en rättslig grund att behandla uppgifterna.

Det ger en översikt över alla register, system och dokument där personuppgifter förekommer. Registerförteckningen är även till hjälp för att kunna ta fram ett registerutdrag när någon begär det.

Verktyg för registerförteckning i Hjo kommun

Hjo kommuns register ligger i ett system som heter DIGframe. När du behöver rapportera ny behandling, ändring av registrerad behandling eller att behandling utgår kontaktar du GDPR administratör i din verksamhet. 

Nämnden/styrelsen som personuppgiftsbiträde

Om nämnden/styrelsen behandlar personuppgifter på uppdrag av någon annan personuppgiftsansvarig, och är då ett personuppgiftsbiträde, ska även de behandlingarna registreras, men då är det lite annan uppsättning av information som ska registreras för behandlingarna.

Vad ska registerförteckningen innehålla enligt artikel 30? 

För personuppgiftsansvariga finns informationen i artikel 30.1, medan för personuppgiftsbiträde finns informationen i artikel 30.2.

I personuppgiftsansvariges registerförteckning ska följande uppgifter anges:

• Namn och kontaktuppgifter för personuppgiftsansvarig.
• Namn och kontaktuppgifter till dataskyddsombud.
• Ändamålen med behandlingen.
• Beskrivning av kategorierna av registrerade.
• Beskrivning av kategorierna av personuppgifter.
• Om möjligt, förutsedda tidsfrister för radering av de olika kategorierna av uppgifter.
• Om möjligt, en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder. 
• Kategorier av mottagare till vilka personuppgifterna har lämnats ut till eller ska lämnas ut, inklusive mottagare i tredjeländer eller i internationella organisationer. Även personuppgiftsbiträden räknas om mottagare.
• Identifiering av land eller internationell organisation om det förekommer överföring av personuppgifter sker till tredjeländer eller internationella organisationer. Om överföring sker i undantagsfall ska det finnas dokumentation av bedömning av omständigheter kring överföringen och lämpliga säkerhetsåtgärder.