Artikel 30

Register över behandling

  • Varje personuppgiftsansvarig och, i tillĂ€mpliga fall, dennes företrĂ€dare ska föra ett register över behandling som utförts under dess ansvar. Detta register ska innehĂ„lla samtliga följande uppgifter:
    • a) Namn och kontaktuppgifter för den personuppgiftsansvarige, samt i tillĂ€mpliga fall gemensamt personuppgiftsansvariga, den personuppgiftsansvariges företrĂ€dare samt dataskyddsombudet.
    • b) ÄndamĂ„len med behandlingen.
    • c) En beskrivning av kategorierna av registrerade och av kategorierna av personuppgifter.
    • d) De kategorier av mottagare till vilka personuppgifterna har lĂ€mnats eller ska lĂ€mnas ut, inbegripet mottagare i tredjelĂ€nder eller i internationella organisationer.
    • e) I tillĂ€mpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sĂ„dana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lĂ€mpliga skyddsĂ„tgĂ€rder.
    • f) Om möjligt, de förutsedda tidsfristerna för radering av de olika kategorierna av uppgifter.
    • g) Om möjligt, en allmĂ€n beskrivning av de tekniska och organisatoriska sĂ€kerhetsĂ„tgĂ€rder som avses i artikel 32.1.
  • Varje personuppgiftsbitrĂ€de och, i tillĂ€mpliga fall, dennes företrĂ€dare ska föra ett register över alla kategorier av behandling som utförts för den personuppgiftsansvariges rĂ€kning, som omfattar följande:
    • a) Namn och kontaktuppgifter för personuppgiftsbitrĂ€det eller personuppgiftsbitrĂ€dena och för varje personuppgiftsansvarig för vars rĂ€kning personuppgiftsbitrĂ€det agerar, och, i tillĂ€mpliga fall, för den personuppgiftsansvariges eller personuppgiftsbitrĂ€dets företrĂ€dare samt dataskyddsombudet.
    • b) De kategorier av behandling som har utförts för varje personuppgiftsansvariges rĂ€kning.
    • c) I tillĂ€mpliga fall, överföringar av personuppgifter till ett tredjeland eller en internationell organisation, inbegripet identifiering av tredjelandet eller den internationella organisationen och, vid sĂ„dana överföringar som avses i artikel 49.1 andra stycket, dokumentationen av lĂ€mpliga skyddsĂ„tgĂ€rder.
    • d) Om möjligt, en allmĂ€n beskrivning av de tekniska och organisatoriska sĂ€kerhetsĂ„tgĂ€rder som avses i artikel 32.1.
  • De register som avses i punkterna 1 och 2 ska upprĂ€ttas skriftligen, inbegripet i elektronisk form.
  • PĂ„ begĂ€ran ska den personuppgiftsansvarige eller personuppgiftsbitrĂ€det samt, i tillĂ€mpliga fall, den personuppgiftsansvariges eller personuppgiftsbitrĂ€dets företrĂ€dare göra registret tillgĂ€ngligt för tillsynsmyndigheten.
  • De skyldigheter som anges i punkterna 1 och 2 ska inte gĂ€lla för ett företag eller en organisation som sysselsĂ€tter fĂ€rre Ă€n 250 personer sĂ„vida inte den behandling som utförs sannolikt kommer att medföra en risk för registrerades rĂ€ttigheter och friheter, behandlingen inte Ă€r tillfĂ€llig eller behandlingen omfattar sĂ€rskilda kategorier av uppgifter som avses i artikel 9.1 eller personuppgifter om fĂ€llande domar i brottmĂ„l samt övertrĂ€delser som avses i artikel 10.