Register över personuppgiftsbehandling
Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter.
Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Integritetsskyddsmyndigheten.
Vad som ska finnas med i förteckningen beskrivs i artikel 30 i dataskyddsförordningen. Mer information kan hittas på Sveriges Kommuner och Regioners hemsida samt på Integritetsskyddsmyndighetens hemsida.
Om en incident inträffat som innebär olagligt eller brottsligt intrång i system, förlust av uppgifter eller att uppgifter läckt ut eller liknande finns krav på incidentrapportering. En personuppgiftsincident ska rapporteras till Integritetsskyddsmyndigheten enligt huvudregeln senast 72 timmar efter det att den personuppgiftsansvarige upptäckt det.
Överträdelser mot förordningens bestämmelser kan leda till särskilda sanktionsavgifter, både för den personuppgiftsansvarige och för personuppgiftsbiträdet. Det finns även skadeståndsbestämmelser.