GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
KAPITEL IV
Personuppgiftsansvarig och personuppgiftsbiträde
Avsnitt 1
Allmänna skyldigheter
Artikel 30 Register över behandling
1. Varje personuppgiftsansvarig och, i tillämpliga fall, dennes företrädare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehålla samtliga följande uppgifter:
|
a)
|
Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillämpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrädare samt dataskyddsombudet.
|
|
b)
|
Ändamålen med behandlingen.
|
|
c)
|
En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
|
|
d)
|
De kategorier av mottagare till vilka personuppgifterna har lämnats eller ska lämnas ut, inbegripet mottagare i tredjeländer eller i internationella organisationer.
|
|
e)
|
I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
|
|
f)
|
Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
|
|
g)
|
Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
|
2. Varje personuppgiftsbiträde och, i tillämpliga fall, dennes företrädare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges räkning, som omfattar följande:
|
a)
|
Namn och kontaktuppgifter för personuppgiftsbiträdet eller personuppgiftsbiträdena och för varje personuppgiftsansvarig för vars räkning personuppgiftsbiträdet agerar, och, i tillämpliga fall, för den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare samt dataskyddsombudet.
|
|
b)
|
De kategorier av behandling som har utförts för varje personuppgiftsansvariges räkning.
|
|
c)
|
I tillämpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sådana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lämpliga skyddsåtgärder.
|
|
d)
|
Om möjligt, en allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärder som avses i artikel 32.1.
|
3. De register som avses i punkterna 1 och 2 ska upprättas skriftligen, inbegripet i elektronisk form.
4. På begäran ska den personuppgiftsansvarige eller personuppgiftsbiträdet samt, i tillämpliga fall, den personuppgiftsansvariges eller personuppgiftsbiträdets företrädare göra registret tillgängligt för tillsynsmyndigheten.
5. De skyldigheter som anges i punkterna 1 och 2 ska inte gälla för ett företag eller en organisation som sysselsätter färre än 250 personer såvida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rättigheter och friheter, behandlingen inte är tillfällig eller behandlingen omfattar särskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fällande domar i brottmål samt överträdelser som avses i artikel 10.
- eller 13
- för 11
- fall 7
- avses 7
- tillämpliga 6
- personuppgiftsansvariges 5
- samt 5
- företrädare 5
- personuppgifter 4
- inbegripet 4
- överföringar 4
- kategorier 4
- behandling 4
- register 4
- inte 3
- beskrivning 3
- möjligt 3
- behandlingen 3
- till 3
- kategorierna 3
- personuppgiftsbiträdet 3
- utförts 3
- organisation 3
- räkning 3
- internationella 3
- artikel 3
- artikel 2
- tredjelandet 2
- identifiering 2
- organisationen 2
- sådana 2
- punkterna 2
|
GDPR - BG CS DE EL EN ES ET FI FR GA IT LV LT MT PT SK SL SV
CHAPTER IV
Controller and processor
Section 1
General obligations
Article 30 Records of processing activities
1. Each controller and, where applicable, the controller's representative, shall maintain a record of processing activities under its responsibility. That record shall contain all of the following information:
|
(a)
|
the name and contact details of the controller and, where applicable, the joint controller, the controller's representative and the data protection officer;
|
|
(b)
|
the purposes of the processing;
|
|
(c)
|
a description of the categories of data subjects and of the categories of personal data;
|
|
(d)
|
the categories of recipients to whom the personal data have been or will be disclosed including recipients in third countries or international organisations;
|
|
(e)
|
where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;
|
|
(f)
|
where possible, the envisaged time limits for erasure of the different categories of data;
|
|
(g)
|
where possible, a general description of the technical and organisational security measures referred to in Article 32(1).
|
2. Each processor and, where applicable, the processor's representative shall maintain a record of all categories of processing activities carried out on behalf of a controller, containing:
|
(a)
|
the name and contact details of the processor or processors and of each controller on behalf of which the processor is acting, and, where applicable, of the controller's or the processor's representative, and the data protection officer;
|
|
(b)
|
the categories of processing carried out on behalf of each controller;
|
|
(c)
|
where applicable, transfers of personal data to a third country or an international organisation, including the identification of that third country or international organisation and, in the case of transfers referred to in the second subparagraph of Article 49(1), the documentation of suitable safeguards;
|
|
(d)
|
where possible, a general description of the technical and organisational security measures referred to in Article 32(1).
|
3. The records referred to in paragraphs 1 and 2 shall be in writing, including in electronic form.
4. The controller or the processor and, where applicable, the controller's or the processor's representative, shall make the record available to the supervisory authority on request.
5. The obligations referred to in paragraphs 1 and 2 shall not apply to an enterprise or an organisation employing fewer than 250 persons unless the processing it carries out is likely to result in a risk to the rights and freedoms of data subjects, the processing is not occasional, or the processing includes special categories of data as referred to in Article 9(1) or personal data relating to criminal convictions and offences referred to in Article 10.
- controller 11
- data 10
- referred 8
- processor 7
- categories 7
- applicable 7
- processing 7
- article 6
- shall 6
- third 5
- organisation 5
- international 5
- representative 5
- personal 5
- including 4
- transfers 4
- record 4
- country 4
- description 3
- the 3
- behalf 3
- possible 3
- safeguards 2
- each 2
- general 2
- suitable 2
- subparagraph 2
- case 2
- second 2
- technical 2
- organisational 2
- each 2
|
