Kort svar
GDPR Artikel 30 kräver att ni dokumenterar alla behandlingar av personuppgifter i en registerförteckning. Detta är inte valfritt — varje organisation med 250+ anställda eller som behandlar känsliga uppgifter måste ha det. I praktiken omfattas nästan alla svenska företag i någon utsträckning. IMY (Integritetsskyddsmyndigheten) kan begära att se den.
Vem omfattas?
Artikel 30 säger att alla personuppgiftsansvariga och biträden ska föra register, men undantar små företag <250 anställda — med viktiga undantag:
- Behandlingen inte är tillfällig (de flesta företags personalregister, kundregister osv.)
- Behandlingen kan medföra risk för individens fri- och rättigheter
- Behandling av känsliga uppgifter (hälsa, fackföreningstillhörighet, etniskt ursprung etc.)
- Behandling av brottsuppgifter
I praktiken: nästan alla företag måste föra register för åtminstone vissa behandlingar — eftersom kund- och personalregister sällan är "tillfälliga" och nästan alltid kan medföra rättighetsrisker.
Vad registret måste innehålla
För personuppgiftsansvarig (artikel 30.1) ska registret innehålla:
- Namn och kontaktuppgifter för den ansvariga och eventuellt dataskyddsombudet (DPO)
- Ändamålen med behandlingen
- Beskrivning av kategorier av registrerade och kategorier av personuppgifter
- Kategorier av mottagare till vilka uppgifterna kommunicerats eller kommer att kommuniceras
- Eventuell överföring till tredje land och vilka skyddsåtgärder som tillämpas
- Förutsedda tidsfrister för radering
- Allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder (artikel 32)
För personuppgiftsbiträden (artikel 30.2) gäller en något lättare lista — främst kontaktuppgifter, kategorier av behandling och säkerhetsåtgärder.
Hur registret bör struktureras
Det vanligaste formatet är en tabell där varje rad är en behandlingsaktivitet. Exempel på behandlingar i ett typiskt företag:
- Personalregister (löner, anställningskontrakt)
- Rekryteringsregister (CV, referenser)
- Kundregister (CRM-systemet)
- Marknadsföring (e-postutskick, nyhetsbrev)
- Webbanalys (Google Analytics, Hotjar)
- Säkerhetsövervakning (kameror, åtkomstloggar)
- Leverantörsregister
För varje rad fyll i alla 7 punkterna ovan. En rimlig nivå för en SMF: 15-30 behandlingar dokumenterade.
Konkreta tips för varje fält
Ändamål
Var konkret. "Marknadsföring" är för brett. "Skicka månadsvis nyhetsbrev till befintliga kunder som anmält sig" är användbart.
Rättslig grund
Måste anges för varje behandling — avtal, samtycke, berättigat intresse, rättslig förpliktelse osv. Detta är där många misslyckas: "berättigat intresse" kräver att ni dokumenterat den intresseavvägning ni gjort.
Kategorier av personuppgifter
Lista konkret: namn, e-post, telefon, IP-adress, lönebesked, hälsouppgifter, etc. Var noga med att markera vad som är känsliga uppgifter enligt GDPR Art. 9.
Tidsfrister för radering
Det vanligaste misstaget. "Så länge det behövs" är inte giltigt. Specificera: "5 år efter avslutat avtal" eller "2 år efter senaste kontakt" osv.
Mottagare
Inkludera underleverantörer (CRM-system, e-postleverantör, hostingleverantör). Här länkas till era PUB-avtal.
Tredjelandsöverföring
Om data går till USA, India eller annat icke-EU/EES-land, ange skyddsåtgärder (Standard Contractual Clauses, certifieringar etc.). Schrems II har gjort detta extra svårt för USA-överföringar.
Vanliga misstag
- Excel-baserat register — fungerar tills någon ändrar och spårbarheten försvinner. Bättre med ett verktyg med versionshistorik.
- För övergripande beskrivningar — "Allt i CRM-systemet" är inte en behandling, utan flera
- Glömt registret från start — register som inte uppdateras under 1+ år är ett rött kort vid inspektion
- Saknad rättslig grund — varje behandling måste ha en, och berättigat intresse kräver dokumenterad bedömning
- Ingen koppling till underleverantörer — registret ska kunna länkas till PUB-avtal
När IMY frågar
IMY kan begära se ert register och har gjort så i flera fall sedan 2018. Vid inspektion eller klagomål är registret ofta första dokumentet som efterfrågas.
Om ni inte kan lämna ett strukturerat register inom rimlig tid betraktas det som brist på efterlevnad — och kan i sig leda till sanktioner även om själva behandlingen är OK.
Sanktioner
Brist på registerförteckning kan ge:
- Upp till 10 MEUR eller 2 % av global omsättning
- Reprimander och tillsynsbeslut
- Förbud att fortsätta vissa behandlingar
I praktiken har IMY varit relativt mild med rena dokumentationsfel — men i kombination med faktiska säkerhetsincidenter blir bristande dokumentation försvårande.
Hur ofta ska registret uppdateras?
Reglering säger ingen exakt frekvens men praxis är:
- Minst en gång per år — full översyn
- Vid varje ny behandling — uppdatera direkt
- Vid byte av leverantör — uppdatera och uppdatera PUB-avtal
- Vid större organisationsförändringar — full översyn
Hur ett ISMS-verktyg löser det här
I Excel är registerförteckningen en arbetsbörda. I ett bra ISMS-verktyg blir den en bieffekt av annat säkerhetsarbete:
- Kopplad till ert tillgångsregister automatiskt
- PUB-avtal och leverantörsbedömningar länkade direkt
- Versionshistorik för varje ändring
- Audit log som visar vem som ändrat vad och när
- Snabbt exportformat för IMY på begäran
- Notifieringar när bedömningar behöver uppdateras
WF ISMS har inbyggt stöd för Art. 30-register och länkar det till resten av compliance-arbetet — så samma data inte behöver dubbelregistreras. Läs mer om WF ISMS.
Sammanfattning
Registerförteckning enligt GDPR Art. 30 är obligatorisk för nästan alla företag. Lägg tid på att gör den specifikt och konkret — inte övergripande och vagt. Använd ett verktyg som länkar registret till resten av säkerhetsarbetet, så att en uppdatering räcker. När IMY ringer ska ni kunna leverera registret samma dag, inte efter veckors letande.
Vill du omsätta innehållet i konkreta affärsresultat? Utforska våra tjänster inom Webbdesign, Webbutveckling och SEO, se våra Kundcase, läs vår FAQ eller prenumerera på vårt Nyhetsbrev.