Vad ska en registerförteckning innehålla? Exempel och förklaringar

En registerförteckning är mer än bara ett juridiskt krav – det är ett centralt verktyg för struktur och kontroll i dataskyddsarbetet.

Men vad måste faktiskt stå med? Och hur ser du till att det uppfyller kraven i praktiken?

I det här inlägget får du en översikt över vad som ska ingå i en korrekt registerförteckning enligt GDPR, både för personuppgiftsansvariga och personuppgiftsbiträden – med exempel och konkreta tips.

Vad är en registerförteckning – och varför är den så viktig?

Alla organisationer som behandlar personuppgifter måste kunna visa vilka behandlingar de gör. Den här översikten kallas en registerförteckning (eller förteckning över behandlingsaktiviteter), och är ett grundläggande krav i artikel 30 GDPR.

Även om vissa mindre organisationer kan undantas från delar av kravet, gäller det i praktiken för de flesta. En god registerförteckning hjälper er att:

• Svara snabbt på begäran om registerutdrag
  
  
• Visa vilket rättsligt stöd ni har för varje behandling
  
  
• Förklara vilka typer av personuppgifter som behandlas – och varför
  
  
• Ge korrekt information i er integritetspolicy
  
  
• Identifiera onödig, föråldrad eller riskfylld behandling

Vid tillsyn är det ofta det första som efterfrågas av Integritetsskyddsmyndigheten. Förteckningen visar att ni tar ansvar – och har kontroll på dataskyddsarbetet.

Vad ska en registerförteckning innehålla? (För personuppgiftsansvariga)

Om ni är personuppgiftsansvariga ska förteckningen innehålla följande:

1. Namn och kontaktuppgifter

Det ska tydligt framgå vem som är ansvarig för behandlingen – inklusive kontaktuppgifter och eventuella företrädare eller dataskyddsombud.

Exempel:
Personuppgiftsansvarig: Exempel AB
Kontakt: dataskydd@exempel.se
Representant: GDPR Consult AB (för verksamhet utanför EU/EES)
Dataskyddsombud: Lina Lag, dpo@exempel.se

2. Ändamålen med behandlingen

Syftet med varje behandling ska vara tydligt, specifikt och kopplat till verksamhetens behov.

Exempel:

• Personaladministration och löneutbetalning
  
  
• Tillhandahålla tjänster via mobilapp
  
  
• Logga och hantera säkerhetsincidenter

Det här kopplas direkt till vilken rättslig grund som används – och det ska ni kunna motivera.

3. Kategorier av registrerade och personuppgifter

Här anger ni vem behandlingen rör – och vilken typ av uppgifter som samlas in.

Exempel:
Registrerade: Kunder, anställda, konsulter
Personuppgifter: Namn, e-post, inloggningsdata, IP-adress, hälsouppgifter (vid sjukfrånvaro)

Glöm inte att särskilda kategorier (t.ex. hälsa, religion, facklig tillhörighet) kräver extra skydd och särskilt rättsligt stöd.

4. Mottagare och tredjelandsöverföringar

Här specificerar ni vem som får ta del av uppgifterna – både internt och externt – samt om informationen förs över utanför EU/EES.

Exempel:

• Intern IT-avdelning
  
  
• Löneleverantör i Sverige
  
  
• Analysverktyg i USA (med SCC)

Tredjelandsöverföringar kräver särskilda skyddsåtgärder enligt artikel 46 eller 49 – och måste dokumenteras.

5. Lagringstider och gallringsrutiner

Ni måste visa att ni följer principen om lagringsminimering – och att data raderas i rätt tid.

Exempel:

• Rekryteringsdata raderas efter 12 månader
  
  
• Lönedata sparas i 5 år och raderas därefter
  
  
• Inloggningsloggar raderas efter 90 dagar

Kan ni inte ange exakt tidpunkt, bör ni ändå dokumentera raderingsrutiner och regelbunden granskning.

6. Beskrivning av säkerhetsåtgärder

Här visar ni att ni har vidtagit rimliga skyddsåtgärder, utan att behöva gå in i tekniska detaljer.

En vanlig utmaning här är kunskapsluckor hos systemägare och interna nyckelpersoner. Många med ansvar för system och databehandling saknar helt enkelt den insikt i GDPR-kraven som behövs. 

Detta gör det svårt att bedöma och dokumentera rätt säkerhetsåtgärder i registret, vilket tydligt visar behovet av både vägledning och systemstöd för att innehållet ska bli korrekt.

Exempel:

• Tvåfaktorsautentisering för alla medarbetare
  
  
• Kryptering av filer och e-post
  
  
• Regelbundna säkerhetskopieringar och återställningstester
  
  
• Årlig granskning av IT-säkerhet

Åtgärderna ska vara proportionella utifrån den risk personuppgifterna innebär.

Vad ska en registerförteckning innehålla? (För personuppgiftsbiträden)

Om ni behandlar personuppgifter för någon annans räkning (t.ex. som leverantör), måste ni föra en motsvarande förteckning.

1. Namn och kontaktuppgifter

Både er egen och kundens information ska dokumenteras.

Exempel:
Personuppgiftsbiträde: Driftpartner AB
Personuppgiftsansvarig: Kundföretaget AB
Kontakt: dataskydd@driftpartner.se

Om ni hanterar data för flera kunder, ska varje kund redovisas separat.

2. Beskrivning av behandlingen

För varje kund ska det stå vad ni gör med deras data.

Exempel:

• Drift och underhåll av CRM-system
  
  
• IT-support och teknisk felsökning
  
  
• Backup av kundens e-postsystem

Var tydlig – det gynnar både er och kunden.

3. Tredjelandsöverföringar och skydd

Om ni använder underleverantörer utanför EU/EES måste det dokumenteras.

Exempel:
Underleverantör: Helpdesk Inc, USA
Skydd: Standardavtalsklausuler (SCC), kompletterande riskbedömning

Detta är särskilt viktigt för att visa att ni följer GDPR vid outsourcing.

4. Säkerhetsåtgärder

Beskriv vilka organisatoriska och tekniska skydd som finns – gärna kopplat till ISO 27001 eller liknande.

Exempel:

• Fysisk åtkomstkontroll till serverrum
  
  
• Kryptering av trafik
  
  
• Övervakning av system och loggning av händelser
  
  
• Rättighetsstyrd åtkomst baserat på roll

Ni måste också ha personuppgiftsbiträdesavtal med varje uppdragsgivare, enligt artikel 28.

Vad händer om ni saknar en uppdaterad registerförteckning?

Att sakna en komplett och uppdaterad förteckning kan få allvarliga konsekvenser:

• Tillsyn och sanktionsavgifter: Integritetsskyddsmyndigheten (IMY) kan snabbt konstatera brister – och besluta om åtgärder.
  
  
• Tidsförlust vid förfrågningar: Utan struktur måste personalen leta manuellt.
  
  
• Bristande riskhantering: Höga risker kan förbises utan överblick.
  
  
• Förlorat förtroende: Både anställda och kunder förväntar sig att ni följer lagen och har koll.
  
  
• Ökade kostnader: Att skapa dokumentationen i efterhand är både tidskrävande och dyrt.

En bra förteckning är alltså inte bara ett juridiskt krav – utan en investering i effektivitet, tillit och riskreducering.

Egen lösning i Excel – eller ett professionellt verktyg?

Många börjar i Excel – och det kan fungera utmärkt i starten. Men när antalet behandlingar eller databehandlare växer, kommer utmaningarna:

Fördelar med Excel och egna mallar:

• Lätt att komma igång
  
  
• Full kontroll över struktur
  
  
• Inga licenskostnader
  
  
• Lätt att dela internt

Utmaningar att vara medveten om:

• Svårt att hålla uppdaterat mellan team
  
  
• Risk för fel, versioner och borttappad information
  
  
• Ingen automatisk uppföljning
  
  
• Ingen koppling till övrigt dataskyddsarbete (DPIA, informationsskyldighet etc.)

Med ett specialbyggt verktyg får ni istället:

• Bättre struktur
  
  
• Automatisk påminnelse om uppdatering och revidering
  
  
• Färre fel vilket minskar risken för påföljder från IMY
  
  
• Tidsbesparing
  
  
• Ökad trygghet och spårbarhet

Registerförteckning – gjort enkelt och GDPR-säkert

För att efterleva GDPR behöver ni veta vilka personuppgifter ni behandlar – och varför. Det kräver en uppdaterad och korrekt registerförteckning.

Men att uppnå detta kan vara en utmaning. Många brottas med att hålla dokumentationen uppdaterad, att få en helhetsbild av vilka system som hanterar personuppgifter, och att få tillräckligt med tid och resurser i en hektisk vardag.

Dessa utmaningar gör det svårt att säkerställa att registerförteckningen faktiskt är en tillförlitlig källa till sanningen.

Med vår lösning får ni:

• Full överblick över alla behandlingsaktiviteter
  
  
• Tydlig ansvarsfördelning
  
  
• Automatiska notifieringar
  
  
• All dokumentation samlad

Boka en demo – och se hur ni enkelt kan få koll på er personuppgiftsbehandling.