Vi är ett kreditvärdigt företag enligt Bisnodes värderingssystem som baserar sig på en mängd olika beslutsregler. Denna uppgift är alltid aktuell, informationen uppdateras dagligen via Bisnodes databas. Trygg e-handel
Laddar

Varukorgen är tom

  • GDPR? Informationssäkerhet? Brandskydd?
    GDPR? Informationssäkerhet? Brandskydd?
    Jobba förebyggande och ta hjälp av proffs inom säkerhet
  • Behöver ni dokument anpassade för era krav?
    Behöver ni dokument anpassade för era krav?
    Vi kan hjälpa er med produktion, drift och programmering.
  • Behöver du HR-stöd inom 24 arbetstimmar?
    Behöver du HR-stöd inom 24 arbetstimmar?
    Din personalchef på nätet. Snabba och professionella råd och svar.
  • Behöver du få svar inom 24 arbetstimmar?
    Behöver du få svar inom 24 arbetstimmar?
    Basjuridisk rådgivning. Korrekt och kostnadseffektivt.
  • Alltid uppdaterade och tillgängliga överallt
    Alltid uppdaterade och tillgängliga överallt
    Över 2000 dokument och mallar som är kontrollerade av proffs.

Vad registret ska innehålla

Till denna guide finns ett Excelark med rubrikerna som ska finnas med i ett register, använd gärna det som stöd. Nedan följer 12 punkter om vad registret ska innehålla och som åtföljs av kommentarer för att underlätta ert arbete med registret.

1. Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet
Personuppgiftsansvarig är inte en person (endast om företaget är en enskild firma). Om ni är ett aktiebolag, handelsbolag, kommanditbolag eller annan organisation så är det den som ska anges. Ange därefter kontaktuppgifter till företaget/organisationen. Om ni är två personuppgiftsansvariga, så ska båda företagen/organisationerna anges.

Därefter anger ni företrädaren för personuppgiftsansvarig. Oftast den som är företagets/organisationens högste ansvarige. I ett aktiebolag är det normalt VD.

Om ni har ett dataskyddsombud så ska även den personen anges. Skyldighet att ha dataskyddsombud finns ifall ni hanterar en stor massa av känsliga personuppgifter enligt tidigare nämnda artikel 9.1. Kan exempelvis vara en läkarmottagning, facklig organisation, idrottsförening eller en kyrka.

2. Ändamålen med behandlingen
Ni ska kunna beskriva varför behandlingen av personuppgifter sker. Är det kontaktuppgifter till kund så är det kanske för att ni ska kunna kontakta rätt person hos kunden. Skriv exempelvis kontaktuppgifter kund och förklara sedan varför ni behöver de uppgifterna. Är det sjukfrånvaroregistrering då ska det beskrivas med en rubrik och en kort beskrivning. Exempelvis att det sker direkt i ett datasystem eller att anställda anmäler sjukfrånvaro via telefon och att mottagaren registrerar frånvaron i ert interna system (ange vilket). Det behövs inte långa beskrivningar. Behöver sjukdomen i sig registreras eller räcker det med beräknad dag för återkomst? Är det återinsjuknande inom sju dagar kanske ni behöver veta att det är samma sjukdom så att inte en ytterligare karensdag dras. Är det under en rehabiliteringsprocess så kan vissa uppgifter vara viktiga att registrera. Kännedom om sjukdomar hos enskilda anställda anses vara känsliga personuppgifter och ska skyddas extra noga. Se artikel 9.

3. En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter
Ange i registret vilken kategori som personen tillhör. Är det den egna personalen eller är det andra som kanske finns i ett kund- eller medlemsregister hos er. De kallas för registrerade. Varje enskild individ kallas för “registrerad” i lagen. Ni ska också ange vilken typ av uppgifter ni registrerar. Exempelvis sjukfrånvaro hos personal, kontaktuppgifter till kund eller medlem. Även det personalen registrerar dagligen som e-post, affärskontakter, eller automatiska registringar som IP-nummer och telefonnummer ska upptas i Artikel 30-registret.

4. De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer
Ange kategorier av mottagare, exempelvis extern lönehantering eller medlemsregister. Skriv in ifall ni regelbundet skickar eller kommer skicka uppgifter till mottagare i tredjeland. Tredjeland innebär en mottagare utanför EU/EES-länder, exempelvis USA, Thailand eller Sydafrika. Det gäller även om ni är med i någon internationell organisation och regelbundet skickar uppgifter till den, exempelvis namn och e-postadresser till konferensdeltagare, medlemsregister, kontaktuppgifter till ansvariga. För att få överföra personuppgifter till tredjeland ska kraven enligt förordningens kapitel 5 uppfyllas.
Det kom en dom från EU-domstolen sommaren 2020, SCHREMS II-domen. Den förbjuder att via molntjänster lämna ut uppgifter till USA. Se till att ni får en bedömning av en GDPR-expert eller dataskyddsombud om hur det ser ut hos er.

5. Dokumentationen av lämpliga skyddsåtgärder gällande utlämnande av personuppgifter till tredjeland
SCHREMS II-domen påverkar vad som är tillåtet och vad som är lämpliga skyddsåtgärder. Förslagsvis tar ni kontakt med en GDPR-expert eller ert dataskyddsombud. Det är viktigt att följa vad Europeiska dataskyddsstyrelsen kommer göra, gällande effekterna av detta beslut.

6. Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter
Generellt gäller att personuppgifter ska raderas så snart de har behandlats. När personuppgifter behandlas måste ni, enligt artikel 6, ha en laglig grund att behandla dem. Om ni inte har en laglig grund så får ni inte behandla personuppgifterna.

Ni bör ha riktlinjer för personuppgiftsbehandling med angivna tidsgränser för hur länge olika kategorier av personuppgifter får sparas. Sätt exempelvis tidsbegränsning på hur länge e-post får sparas, förslagsvis högst tre månader. Skriv gärna en e-postrekommendation om användandet av personuppgifter. Skriv in att när kund-eller leverantörsrelationer avslutas ska personuppgifter till dem raderas från allt utom bokföringsunderlaget (eller annat som enligt lag måste bevaras längre). När ni arbetar med projekt som innehåller personuppgifter så är huvudregeln att personuppgifterna ska raderas omedelbart efter projektet är slutfört.

Ibland finns det uppgifter som måste sparas för längre tider. Det kan vara löneuppgifter och underlag till bokslut. Då gäller andra lagar, exempelvis Bokföringslagen, att bokföringsunderlag måste sparas i sju år. Artikel 6 gäller även i samband med detta.

Ibland ska vissa uppgifter arkiveras för alltid och då måste ni ha en laglig grund för det. Då måste ni återigen följa artikel 6, ange rättslig grund till varför ni sparar uppgifterna.

7. Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1
Alla organisationer som hanterar personuppgifter måste vidta tekniska och organisatoriska åtgärder för att minska risken för personuppgiftsincidenter. Dataskyddsförordningens artikel 32 reglerar och ger vägledning för detta, se nedan.

Artikel 32 Säkerhet i samband med behandlingen

1. Med beaktande av den senaste utvecklingen, genomförandekostnaderna och behandlingens art, omfattning, sammanhang och ändamål samt riskerna, av varierande sannolikhetsgrad och allvar, för fysiska personers rättigheter och friheter ska den personuppgiftsansvarige och personuppgiftsbiträdet vidta lämpliga tekniska och organisatoriska åtgärder för att säkerställa en säkerhetsnivå som är lämplig i förhållande till risken, inbegripet, när det är lämpligt
a) pseudonymisering och kryptering av personuppgifter,
b) förmågan att fortlöpande säkerställa konfidentialitet, integritet, tillgänglighet och motståndskraft hos behandlingsystemen och -tjänsterna,
c) förmågan att återställa tillgängligheten och tillgången till personuppgifter i rimlig tid vid en fysisk eller teknisk incident,
d) ett förfarande för att regelbundet testa, undersöka och utvärdera effektiviteten hos de tekniska och organisatoriska åtgärder som ska säkerställa behandlingens säkerhet.

I registret ska det finnas en allmän beskrivning av vilka åtgärder ni har vidtagit för att säkra personuppgifterna. Här är några av de frågor ni bör ställa kring säkerheten:

  • Använder ni krypterad e-post och andra krypterade tjänster?
  • Är dörrar låsta till kontor och skåp där personuppgifter förvaras?
  • Använder ni VPN?
  • Är era system skyddade med den senaste tekniken?
  • Använder ni servrar hos någon annan?
  • Hur har ni säkrat upp att personuppgifter på servrar hos externa leverantörer inte kan kommas åt av obehöriga?
  • Är ni och de externa leverantörerna säkrade mot cyberattacker?
  • Testar ni regelbundet säkerheten? Beskriv i så fall hur.
  • Har ni annan utomstående personal i lokalerna, exempelvis städare och väktare?
  • Hur undviker ni att obehöriga får del av era personuppgifter?
  • Har ni städat undan personuppgifter från skrivborden?
  • Är datorer avstängda eller låsta, lösenordskyddade när användaren inte är där?
  • Hur skyddar ni de registrerades uppgifter?

Sanktionsavgifterna är väldigt höga i det fall personuppgifter kommer i orätta händer, eller riskerar att göra det. Det är klokare att investera i bättre skydd än att betala sanktionsavgifter. För en återkommande diskussion med ert dataskyddsombud, IT-säkerhetsexpert eller informationssäkerhetsexpert om vad som krävs och de senaste tekniska lösningarna för att ständigt förbättra säkerheten.

Ni hittar bra information om informationssäkerhet på Myndigheten för samhällsskydd och beredskaps (MSB) hemsida.

8. Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:
a) Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.
b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
c) I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
d) Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.

Ovanstående omfattar de företag, personuppgiftsbiträden, som lagrar eller behandlar personuppgifter åt personuppgiftsansvariga. Personuppgiftsbiträdet ska också ha ett Artikel 30-register. Det krävs ett personuppgiftsbiträdesavtal förutom själva affärsavtalet. Har ni exempelvis lagt ett kundregister hos ett dataföretag för behandling så måste ni ha kontroll på hur dom använder uppgifterna.

Reglera i personuppgiftsbiträdesavtalet att de inte får sälja uppgifterna eller använda dom i andra syften än det ni har kommit överens om. Ni måste också ha kontroll på ifall de har underbiträden. Det kan vara att ert personuppgiftsbiträde har servrar hos ett annat företag. I artikel 24-29 i förordningen kan ni läsa mer om kraven.

9. De register som avses i punkterna 1 och 2 (se allt ovan) ska upprättas skriftligen, inbegripet i elektronisk form
Som bilaga till denna guide finns ett exempel på en uppställning i Excel hur ett skriftligt register ska se ut. Ett Excelark fungerar utmärkt men det kan också göras i IT-system, Sharepoint eller annat. Observera att registret ska finnas i elektronisk form, då ni måste kunna skicka underlaget elektroniskt till tillsynsmyndigheten när de så begär. Registret ska också finnas tillgängligt för dataskyddsombudet, om ni har ett. Som betonats flera gånger så är det viktigt att begränsa vem som har tillgång till registret och vem som löpande ska hålla registret aktuellt och korrekt.

Dokument
Artikel 30-registermall

10. På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten
Som beskrivet ovan så är det viktigt att se till att registret alltid är uppdaterat och alltid finns tillgängligt för Datainspektionen och i förekommande fall dataskyddsombudet. Lämpligt är att organisationens högsta ansvarige, VD eller ordförande, är uppdaterade på vad registret innehåller, att det är korrekt och aktuellt. Det är de som hålls ansvariga för den personuppgiftsansvariges (organisationens) räkning. Utöver det ska ledningen hållas informerad.

11. Skäl 82
För att påvisa att denna förordning följs bör de personuppgiftsansvariga eller personuppgiftsbiträdena föra register över behandling som sker under deras ansvar. Alla personuppgiftsansvariga och personuppgiftsbiträden bör vara skyldiga att samarbeta med tillsynsmyndigheten och på dennas begäran göra detta register tillgängligt, så att det kan tjäna som grund för övervakningen av behandlingen.

Enligt ovanstående är ni skyldiga att föra register och ni är skyldiga att samarbeta med myndigheterna. Vid efterlevandekontroll eller annan inspektion ska ni kunna visa upp ett aktuellt och korrekt Artikel 30-register. Då kravet på att föra register och att kunna uppvisa ett register återkommer i flera punkter är det lätt att förstå att lagstiftarna ser mycket allvarligt på det. Som vi gått igenom ska Artikel 30-register innehålla följande:

  • Uppgifter om personuppgiftsansvarige
  • Vem som är ansvarig
  • Kategorier av personuppgifter
  • Kategorier av registrerade
  • Vilka personuppgifter som behandlas
  • Varför de behandlas och laglig grund för det
  • När de raderas
  • Vem som har behörighet
  • Hur ni skyddar uppgifterna
  • Personuppgiftsbiträde
  • Överlämnande av uppgifter till tredjeland
  • Det ska kunna granskas av tillsynsmyndighet och saknas registret eller uppgifter i registret kommer sannolikt sanktionsavgiften bli hög. Utöver de obligatoriska uppgifterna kan registret innehålla frivilliga uppgifter enligt nedan.

12. Frivilliga uppgifter
Till ert eget stöd kan det vara bra att skriva in ytterligare uppgifter i Artikel 30-registret. De kompletterar de obligatoriska uppgifterna. Här är några tips.

A) Då alla har lite olika arbetsuppgifter och behandlar personuppgifter på olika sätt, skriver ni förslagsvis in ansvarig för respektive behandling.
B) Ni kan också tillföra enhet/avdelning om ni är ett större företag eller organisation.
C) Sätt datum för när det är inlagt och om det finns en tidsbegränsning eller om uppgifterna löper tillsvida.
D) Ni bör också skriva in vilken laglig grund ni har för behandlingen.
E) Skriv gärna in vilket verktyg ni använder för att behandla personuppgifterna. Är det e-post typ Outlook, Office 365 eller är det något annat datasystem.
F) Skriv in om ni har ett eller flera personuppgiftsbiträdesavtal och när de tecknades. Bra att ha koll på och när de behöver uppdateras.

Se till att hålla registret uppdaterat och underhållet hela tiden. Att regler och rutiner stämmer med vad som står i registret. Att ansvariga personer hålls aktuella. Att innehållet och hanteringen överensstämmer med vad som angivits i registret. Utse gärna en ansvarig för att hålla registret uppdaterat.