Ta upp dessa 10 saker i din registerbeskrivning när den nya dataskyddsförordningen är här

Artikeln baserar sig på den registerbeskrivningsmodell som Dataombudsmannen erbjuder. Vi rekommenderar dig att kontrollera din egen registerbeskrivning med myndigheterna eller en jurist.

Redan innan den nya dataskyddsförordningen har en registerbeskrivning varit obligatorisk för alla som upprätthåller ett personregister. Den nya datasyddsförordningen sätter vissa nya förutsättningar för registerbeskrivningen. I denhär artikeln tar vi upp de mest centrala som ska finnas med i registerbeskrivningen.

Allmänt om registerbeskrivningen

En registerbeskrivning är ett dokument som skall finnas för varje personregister i företaget. Ditt företag måste alltså ha en egen registerbeskrivning för alla olika personregister som du upprätthåller, tex. Personal-, kund-, markandsföringsregister. Registerbeskrivningen måste vara tillgänglig för alla och det vanligaste stället att ha det på är den egna hemsidan.

Här nedan går vi igenom de mest centrala delarna av registerbeskrivningen på basen av dataombundsmannens modell för en registerbeskrivning.

Registeransvarig

I registerbeskrivningen måste det framgå vem som upprätthåller personregistret och varför. Den registeransvarige är i de flesta fall ditt företag. Den registeransvarige kan också vara en förening eller en myndighet, men inte t.ex. en enskild anställd, enhet eller avdelning i ett företag, eller ett annat företag som skulle upprätthålla registret för dig.

Registrets kontaktperson

Registret måste förses med en kontaktperson som kan ge svar på frågor om registret. Varje registrerad (=person i registret) har rätt att be om att få veta vilka uppgifter om honom/henne finns sparade, vad de används för osv. Kontaktpersonen är oftast företagaren själv, VD:n eller någon annan namngiven person som sköter ärenden gällande registret.

Registrets namn

Alla personregister måste ha ett namn som beskriver vad registret används till. T.ex. kundregister eller personalregister.

Syftet med behandlingen av personuppgifter

Det måste finnas en angiven orsak till att registret finns och varför personuppgifter behandlas. Upprätthållande av ett personregister utan att ange grunden till varför personuppgifter samlas in och behandlas är olagligt. Syftet med registret kan vara t.ex. Upprätthållandet av kundförhållande, medlemskap, marknadsföring, eller kvalitetsutveckling av en tjänst.

I den här delen av registerbeskrivningen kan du också nämna om en tredje part behandlar personuppgifter. Om du använder dig t.ex. av utomstående tjänster som behandlar personuppgifter för din del, eller om du överför behandlingen av personuppgifterna till en tredje part, ska detta framgå här.

Datamängden i registret

Här skall du beskriva vilka uppgifter om personen kan sparas i registret (Obs! Det betyder inte att de nödvändigtvis sparas). Om du samlar in uppgifter som kan kopplas ihop med personen, dvs. Personuppgifter, såsom namn, födelsedatum, kontaktuppgifter och personnummer, måste du räkna upp dem skilt för sig.

Övriga uppgifter, som t.ex. Kundens beställningar, uppgifter över kundens tekniska apparater, information om användningen av en tjänst, kan du räkna upp mer allmänt.

Informationskällor

Varifrån samlar du in uppgifterna till registret? Skriv upp här varifrån du får informationen som sparas i registret, t.ex. formulär för offertförfrågan på din hemsida eller de uppgifter som sparas när kunden använder tjänsten.

Informationskällor kan också vara utomstående register som överlåter informationen till dig, t.ex. Tjänster som säljer kunduppgifter. Observera att du även här måste ange grunden till att du får uppgifterna. Grunden kan vara t.ex. Den registrerades egna godkännande/samtycke.

Överlåtelse av uppgifter till tredje part

Personuppgifterna i ditt register är i huvudsak menade enbart till ditt eget bruk och du är ansvarig över uppgifterna.

Om du överlåter personuppgifter vidare till någon annan ska det framgå här, och även varför, till vem och vilka uppgifter som överlåtes. Överlåtelse till tredje part är motiverat om den registrerade skilt gett sin tillåtelse till det, eller lagen kräver det. Det är vanligt att den registrerade ger sitt godkännande när han/hon godkänner användarvillkoren till en tjänst.

Observera dock att överlåtelse är en annan sak än att ge en tredje part tillstånd att behandla personuppgifter. Du kan använda dig av utomstående tjänsteleverantörer som behandlar personuppgifter som du samlar in, men du behöver inte överlåta uppgifterna och deras användarrättigheter till dem.

Överförande av personuppgifter utanför EU/EES

I registerbeskrivningen skall du också nämna om du överför personuppgifter utanför EU- eller EES. Om du gör det är det bra att klargöra är det fråga om t.ex. överföring inom Privacy Shield -systemet, eftersom det då framgår att i överföringen och behandlingen av uppgifterna tillämpas vissa tillsammans överenskomna spelregler.

Registrets datasäkerhet

Den registeransvarige är, som namnet säger, ansvarig för de uppgifter som samlas in i registret och att de sparas ändamålsenligt. Du skall alltså beskriva hur uppgifterna är skyddade, är användarrättigheterna begränsade inom företaget/organisationen och hur uppgifterna är skyddade från att någon utanför organisationen får tillgång till dem utan lov.

Observera dock att det inte lönar sig att ge alltför specifika detaljer om dataskyddet, eftersom det skulle t.o.m. kunna vara ett hot mot dataskyddet. Vi rekommenderar alltså att beskriva detta på ett allmänt plan.

Mer information

om den nya dataskyddsförordningen hittar du bl.a. Här:

EU:s dataskyddsförordning

Saknades något viktigt ur artikeln? Skulle du vilja veta mer om hur den nya förordningen påverkar Isoltas användare? Kontakta oss via chaten nere till höger, eller genom att fylla i kontaktblanketten.