Håll er registerförteckning uppdaterad
Att systematiskt dokumentera sina behandlingar av personuppgifter är inte bara praktiskt, utan för många organisationer – ett lagkrav. Enligt artikel 30 i GDPR ska detta göras i form av ett register över alla personuppgiftsbehandlingar. Ett sådant register kallas ofta för en registerförteckning.
Ert register ska bland annat omfatta alla personuppgifter som behandlas av organisationen, en beskrivning av varje behandling, dess syfte samt innehåll. Vid efterfrågan från tillsynsmyndigheten (IMY) ska ni kunna visa upp er registerförteckning. IMY kan använda den som ett underlag om de vill granska någon del av er verksamhet. Registret är även ett bra sätt för er som organisation att bevisa att ni lever upp till principen om ansvarsskyldighet, vilket innebär att ni förutom att följa lagen också ska kunna bevisa att den efterlevs.
Löpande kontroll av registerförteckningen
Förutsättningarna för hur personuppgifter hanteras kan förändras över tid hos de flesta verksamheter. Det kan till exempel handla om nya IT-system, digital utveckling och nya affärsmöjligheter, men också om organisatoriska förändringar och omgjorda arbetsprocesser. Allt sådant leder till att personuppgifter kan komma att behandlas på nya sätt. Dessutom sker saker i omvärlden som påverkar vad du behöver och vill göra i din verksamhet och dataskyddslagstiftningen i sig kan naturligtvis förändras den också.
Att säkerställa ett gott dataskydd och en uppdaterad registerförteckning kräver därför mer än en engångsinsats. För att kunna efterleva lagkraven behöver registret över personuppgiftsbehandlingar ses över kontinuerligt.
När en korrekt registerförteckning finns på plats ska den granskas löpande för att se till att det fungerar på lång sikt. Några punkter som kan behöva ses över:
- Granska att samtliga behandlingar inom organisationen är dokumenterade, även de ostrukturerade (såsom exempelvis personuppgifter i e-post, mötesdokumentation med mera).
- Granska om några behandlingar har tillkommit eller förändrats i närtid.
- Involvera olika avdelningar i er verksamhet. Sträck ut en hand och ställ frågor till exempelvis IT-, HR- och Marknadsavdelningen om ifall de har förändrat något i hur de behandlar personuppgifter. Har någon infört ett nytt system, anlitat ett nytt biträde eller börjat samla in personuppgifter för något nytt ändamål?
- Säkerställ att informationen för varje post i registret är komplett och korrekt, med utgångspunkt i lagstiftningens krav (främst artikel 30 i GDPR).
- Gå igenom aktuella lagändringar och relevant praxis. Har något förändrats som gör att ni behöver göra justeringar i era beskrivningar i registret.
- Granska att rätt organisatoriska och tekniska skyddsåtgärder finns och fungerar.
- Kontrollera att processen för hur organisationen hanterar brister fungerar i praktiken.
- Gör en konsekvensbedömning över de behandlingar som medför en högre risk.
Vad är syftet med en registerförteckning? Vems ansvar är det att föra register? Vi har sammanställt vad ni behöver tänka på i ett faktablad.
Fortsätt utbilda och informera om dataskydd
För en god dataskyddskultur med rutiner som följs är det viktigt att utbilda och informera löpande inom organisationen. Ni behöver också ha rutiner för ny personal och hur de ska introduceras i de rutiner och policys som finns i organisationen, samt vem de ska kontakta vid frågor.
E-learning är ett enkelt sätt att använda för att både utbilda befintlig personal och introducera nyanställda. Med rätt kompetens blir även arbetet med registerförteckningen smidigare och det som läggs in blir sannolikt oftare korrekt.
Utöver detta ska alla medarbetare som arbetar med tjänsteutveckling, systemutveckling eller annat som berör behandling av personuppgifter involvera en dataskyddsansvarig person i ett tidigt stadie. Detta är avgörande för ett hållbart dataskyddsarbete i längden.
Trygg datahantering utifrån era behov
För att kunna upprätthålla och ha kontroll över personuppgiftshanteringen krävs ett system som är anpassat efter era behov. I de flesta fall kommer ni att behöva göra sökningar, sortera, lägga till minnesanteckningar eller dokument till de behandlingar som beskrivs.
Visma Draftit har lång erfarenhet av att arbeta med dataskydd i olika slags verksamheter och vet vad som krävs för att ert dataskyddsarbete ska vara korrekt och samtidigt anpassat för er. Med Privacy Records får ni hjälp under hela processen, kan identifiera risker och se status på de olika uppgifterna. Längs vägen ställer systemet relevanta kontrollfrågor för att se till att allt blir korrekt. Din registerförteckning uppdateras tryggt och enkelt.