Integritetsskyddsmyndigheten är den myndighet i Sverige som har uppdraget att bevaka hur GDPR efterlevs. GDPR gäller för alla företag, myndigheter, föreningar och andra organisationer som behandlar personuppgifter. En omtalad nyhet i GDPR är kravet på många organisationer att föra register över personuppgiftsbehandling. Vad säger Integritetsskyddsmyndigheten om detta krav?
Kravet på registerföring i GDPR
Enligt GDPR finns en skyldighet för företag att föra register över sin personuppgiftsbehandling, men inte för alla organisationer. Skyldigheten att föra register gäller som utgångspunkt endast för företag med 250 eller fler anställda. Detta är dock enbart en utgångspunkt och innebär inte att företag med färre än 250 anställda inte behöver föra register över sin personuppgiftsbehandling. De organisationer som inte behöver inte behöver föra register är i själva verket ytterst få.
Det finns tre krav, som alla ska vara uppfyllda, för att en organisation inte har en skyldighet att föra ett register:
1. All personuppgiftsbehandling ska vara tillfällig,
2. Personuppgiftsbehandlingen ska inte sannolikt medföra en risk för de registrerades rättigheter och friheter samt
3. Behandlingen ska inte omfatta känsliga personuppgifter.
Undantaget omfattar alltså väldigt få företag. Till detta kan tilläggas att organisationer med fler än 250 anställda alltid har en skyldighet att föra register.
Enbart villkoret om att behandlingen ska vara tillfällig gör att det blir nästan omöjligt för ett företag som har anställda eller som har personuppgifter i bokföringen att använda undantaget.
Det är också viktigt att veta att även om man som organisation kan tillämpa undantaget, gäller fortfarande GDPR. All behandling måste fortfarande ha stöd i lag, de registrerades olika rättigheter måste fortfarande kunna tillgodoses och de grundläggande principerna gäller fortfarande. Det enda kravet som inte behöver efterlevas är registerföringen.
Vad säger Integritetsskyddsmyndigheten om kravet på register?
Integritetsskyddsmyndigheten rekommenderar alla organisationer som behandlar personuppgifter att upprätta ett register över personuppgiftsbehandlingen. Myndigheten menar att det är viktigt att hålla bra koll internt på personuppgiftsbehandling, även för företag som omfattas av undantaget. Det finns god anledning att lyssna på Integritetsskyddsmyndigheten rekommendationer, eftersom det är denna myndighet som står för tillsynen gällande efterlevnad av GDPR. Värt att uppmärksamma är att Integritetsskyddsmyndigheten anser att varje behandling måste bedömas för sig. Det innebär att de behandlingar som omfattas av undantaget inte behöver registreras i registret. Dessa behandlingar är tillfälliga behandlingar av icke-känsliga uppgifter som inte medför risk för de registrerades rättigheter och friheter, förutsatt att företaget har färre än 250 anställda. Här kan du läsa mer om vad datainspektionen säger om register över personuppgiftsbehandling.
Läs mer i vårt tidigare blogginlägg ”Varför är det så viktigt att ha ett register över personuppgiftsbehandling?”
GDPR Hero – ett verktyg för registerföring
GDPR Hero är ett verktyg för att på ett enkelt och arbetsbesparande sätt föra ett sådant register som nämns ovan. Har ni några frågor är ni välkomna att kontakta GDPR Hero på 046 – 273 17 17 eller boka in en kostnadsfri demonstration genom att klicka här.
