Registerförteckning* enligt GDPR
Här besvarar vi många av de frågor vi ofta får relaterade till registerförteckning.
Saknar du en fråga? Skicka gärna in den till oss via chatten nere till höger.
* Med registerförteckning avser vi register över behandlingar som regleras i artikel 30 GDPR.
Navigera till frågorna
- Vad är en registerförteckning?
- Varför behöver man en registerförteckning?
- Finns det krav på att ha en registerförteckning?
- Hur fungerar en registerförteckning?
- Vem behöver en registerförteckning?
- Vad är skillnaden för personuppgiftsansvarig / personuppgiftsbiträde?
- Vad ska en registerförteckning innehålla?
- Hur ska en registerförteckning se ut?
- Hur fungerar ett digitalt registerföringsverktyg?
- Vem har ansvar?
- Vad kan hända om man inte har en registerförteckning?
- Hur ofta ska man uppdatera sin registerförteckning?
- När är man klar med sitt GDPR-arbete?
- Vad är fördelarna med en digital registerförteckning?
- Vem kan begära ut registerutdrag?
Vad är en registerförteckning?
En så kallad registerförteckning (kallas ibland behandlingsregister eller artikel 30-register) är ett register, eller en förteckning, över de personuppgiftsbehandlingar som genomförs i organisationen (är det oklart vad en personuppgiftsbehandling är läs mer här). En registerförteckning är helt enkelt dokumentation och beskrivning av era personuppgiftsbehandlingar.
Registerförteckningen ska innehålla en hel del information. Bland annat ska det, för varje personuppgiftsbehandling ni utför, anges, hur ni insamlar uppgifterna, vad syftet med respektive behandlingen är och hur länge ni planerar att behandla personuppgifterna. Det finns även formkrav på en registerförteckning, den ska vara skriftlig i elektronisk form. Med tanke på att registerförteckningen kan bli ganska omfångsrik underlättar det att använda sig av ett digitalt registerföringsverktyg som hjälper er att strukturera de olika behandlingarna och ser till att ni inte missar att få med viktig information.
Varför behöver man en registerförteckning?
Att föra ett register över era personuppgiftsbehandlingar är det mest effektiva ni kan göra för att arbeta samt påvisa efterlevnad av GDPR. En registerförteckning ger er en god överblick över era personuppgiftsbehandlingar och kan användas som ett verktyg för att lättare leva upp till datskyddsförordningens andra krav. Om exempelvis Integritetsskyddsmyndigheten eller någon annan europeisk tillsynsmyndighet skulle knacka på dörren är det viktigt att ni kan visa att GDPR efterlevs. Det organisationens ansvar att visa att så är fallet. Att då ha ett utförligt register på plats underlättar denna skyldighet. Det finns dessutom ett krav i GDPR som innebär en skyldighet att föra register som omfattar de allra flesta organisationer, vilket ni kan läsa mer om nedan.
Finns det krav på att ha en registerförteckning?
Ja. Artikel 30 GDPR kräver att varje personuppgiftsansvarig (eller dennes företrädare) ska föra register över behandlingar. Det gäller alla organisationer som behandlar personuppgifter på ett eller annat sätt, även om det sker i olika omfattning och med olika mängder och typer av personuppgifter.
Undantaget från krav att föra register över behandlingar rör enbart organisationer som sysselsätter färre än 250 personer, och gäller endast för de personuppgiftsbehandlingar som sannolikt inte medför någon risk, är tillfällig och inte inkluderar känsliga personuppgifter.
Hur fungerar en registerförteckning?
Det är lite upp till er. Det beror på hur ni upprättar den och hur ni väljer att arbeta med den. För en registerförteckning kan fungera som kärnan i hela GDPR-arbetet, som ni kan använda i ert löpande arbete med att riskbedöma behandlingar, ta fram personuppgiftspolicy och mycket annat. Då är det smidigt att använda sig av en digital registerförteckning (så som GDPR Hero), som har massa bra stödfunktioner! Annars riskerar registerförteckningen bli statisk, utdaterad och därmed också olaglig.
Vem behöver en registerförteckning?
I stort sett alla. För i praktiken är det ytterst få organisationer som inte behöver föra register över sina personuppgiftsbehandlingar. Eller rättare sagt, det är ytterst få personuppgiftsbehandlingar som inte måste föras in i registerförteckningen. Det vill säga, alla organisationer, måste föra register över personuppgiftsbehandlingar, men det finns undantag för vissa behandlingar.
Undantaget gäller för det första, enbart organisationer med mindre än 250 anställda. Det finns sedan tre villkor, som måste vara uppfyllda, för att en organisation inte har en skyldighet att föra ett register över den specifika personuppgiftsbehandlingen. Personuppgiftsbehandlingen:
1. ska vara tillfällig,
2. ska inte sannolikt medföra en risk för de registrerades rättigheter och friheter, och
3. ska inte omfatta känsliga personuppgifter.
Undantaget omfattar alltså väldigt få personuppgiftsbehandlingar. Det första villkoret om att behandlingen ska vara tillfällig, gör att det blir nästan omöjligt för en organisation att undanta en behandling från kravet på registerföring. Nästan allt som har med exempelvis anställda är inte tillfälligt. Vill du veta mer om vad som utgör känsliga personuppgifter kan du spana in vårt blogginlägg.
Det finns ett ställningstagande från Artikel 29-gruppen (EU:s gemensamma arbetsgrupp för dataskydd) om just detta undantag. Som du kan läsa här.
Vad är skillnaden på registerförteckning för personuppgiftsbiträde och personuppgiftsansvarig??
Ansvarsrollerna, personuppgiftsansvarig och personuppgiftsbiträde bestäms per personuppgiftsbehandling. Vilket betyder att en organisation kan vara både, personuppgiftsansvarig och personuppgiftsbiträde.
För behandlingar som organisationen är personuppgiftsansvarig för ska registerförteckning ske enligt artikel 30.1 GDPR medan för de personuppgiftsbehandlingar där en organisation agerar personuppgifsbiträde ska registerförteckning ske enligt artikel 30.2 GDPR.
Den stora skillnaden är vilken information som ska ingå, se specifikation under nästa fråga.
Vad ska en registerförteckning innehålla?
Artikel 30 GDPR uppställer ett antal krav på vad en registerförteckning ska innehålla.
För personuppgiftsbehandlingar som organisationen är personuppgiftsansvarig för är det följande uppgifter som ska inkluderas:
- Namn och kontaktuppgifter till organisationen
- Namn och kontaktuppgifter till eventuella gemensamt personuppgiftsansvariga samt i tillämpliga fall dataskyddsombud.
- Ändamålen med personuppgiftsbehandlingen
- Kategorier av registrerade
- Kategorier av personuppgifter
- Eventuella mottagare som personuppgifterna lämnas till
- Hur länge uppgifterna sparas (om möjligt)
- Beskrivning av era tekniska och organisatoriska säkerhetsåtgärder (om möjligt)
För personuppgiftsbehandlingar som organisationen är personuppgiftsbiträde för är det följande uppgifter som ska inkluderas:
- Namn och kontaktuppgifter till organisationen
- Namn och kontaktuppgifter för varje personuppgiftsbiträde
- Namn och kontaktuppgifter till dataskyddsombud (om tillämpligt)
- Kategorier av behandling som utförs för varje personuppgiftsansvariges räkning
- Eventuella överföringar av personuppgifter till tredjeland
- Beskrivning av era tekniska och organisatoriska säkerhetsåtgärder (om möjligt)
Som du märker är det en hel del uppgifter som ska finnas med i ett behandlingsregister. Därför underlättar det med ett verktyg för digital registerförteckning för att säkerställa att alla kraven uppfylls och där det också finns möjlighet att dokumentera andra detaljer som gör att ni kan uppfylla principen om ansvarsskyldighet.
Hur ska en registerförteckning se ut?
Artikel 30.3 GDPR kräver att registerförteckning upprättas skriftligt i elektroniskt format. Sedan hur informationen organiseras är inte definierat. Däremot är det många detaljer/mycket information som ska inkluderas i registret, vilket kräver att det finns en ordning och struktur på registret, så att ni kan använda er av informationen på bästa sätt. Det finns ett stort värde i att använda ett verktyg för att föra register, och vi har tagit fram ett digitalt registerföringsverktyg med användarvänlighet i största fokus.
Hur fungerar en digital registerförteckning?
GDPR Hero’s digitala verktyg för registerförteckning är utformat efter artikel 30 i GDPR. På så sätt hjälper det er uppfylla alla krav som ställs på registerförteckning. I verktyget förklaras pedagogiskt vilken information ni ska föra in i verktyget, genom mallar och videos kan ni enkelt ta er igenom det steg-för-steg. När ni registerfört era personuppgiftsbehandlingar hjälper registerförteckningen er ha en överblick över era behandlingar, vilket är användbart vid ert övriga GDPR-arbete. Glöm inte att ni måste hålla er registerförteckning uppdaterad i takt med att ni avslutar eller påbörjar nya personuppgiftsbehandlingar.
Vårt digitala GDPR-verktyg är också utformat för att på ett mycket bra sätt kunna påvisa ansvarsskyldighet och regelefterlevnad (artikel 5.2 GDPR).
Vem har ansvaret att föra register över behandlingar?
Det är den personuppgiftsansvariges ansvar att föra ett register över behandlingar som utförts under dess ansvar. Detta innebär att du är skyldig att registerföra behandlingar som du är personuppgiftsansvarig för. Är du osäker på vilken roll du har för en behandling? Läs vårt blogginlägg!
Observera dock att organisationer som agerar personuppgiftsbiträde ska föra register över de behandlingarna också!
Den personuppgiftsansvarige är, när vi pratar personuppgiftsheandlingen inom en verksmahet, organisationen (den juridiska personen). Det är alltså inte den som är utsedd till GDPR-ansvarig i organisationen som är ansvarig i GDPR:s ögon, utan det är organisationen och därmed i praktiken den högsta ledningen. Däremot, kan det vara bra att känna till att om en anställd behandlar personuppgifter utanför instruktionerna för dennes arbetsroll kan den enskilda individen bli personuppgiftsansvarig för sådant som denne gör. Så det finns situationer där enskilda personer är ansvarig för sin hantering av personuppgifter.
Vad kan hända om man inte har en registerförteckning?
Om kravet på att föra register över behandling av personuppgifter inte efterlevs kan det leda till åtgärd från tillsynsmyndigheten, det kan vara allt ifrån en varning, förbud mot fortsatt behandling till sanktionsavgifter (10 miljoner EUR eller 2% av årsomsättningen, vilket som är högst, enligt artikel 83.4 GDPR).
Utöver att det kan bli kostsamma följder av att inte ha en registerförteckning, så är det än en gång viktigt att poängtera att det är definitvt det bästa ni kan börja med gällande ert GDPR-arbete. Så har ni missat att upprätta en registerförteckning – gör det nu! Registerförteckningen utgör grunden för så mycket annat som organisationen behöver (personuppgiftspolicy, informationstexter, instruktioner till anställda m.m.).
Hur ofta ska man uppdatera sin registerförteckning?
Ni bör hålla er registerförteckning uppdaterad i takt med att ni avslutar eller påbörjar en ny personuppgiftsbehandling. Detta betyder inte att ni varje dag måste granska er registerförteckning. Det bästa är om ni skapar rutiner för att kontrollera att er registerförteckning är up to date.
Det är viktigt att komma ihåg att registerförteckningen ska avspegla verkligheten och inte utgöra ”dream scenario”-dokumentation.
När är man klar med sitt GDPR-arbete?
GDPR är ett löpande arbete. Detta innebär att du aldrig kommer bli helt ”klar”. Detta betyder däremot inte att arbetet med GDPR behöver vara jobbigt. Det finns mycket ni kan göra för att underlätta ert arbete. Ett första steg är att se över er registerförteckning då denna kan ge er en god överblick av de personuppgifter ni behandlar inom er organisation och på vis visualiserar ni riskområden och liknande. Intresset för skydd av personuppgifter blir allt viktigare bland individer, se det som en möjlighet att använd ert GDPR-arbete som en konkurrensfördel!
Vad är fördelarna med en digital registerförteckning?
Fördelarna med att använda sig av ett digitalt registerföringsverktyg är att ni har möjlighet att skapa ett lättöverskådligt register där ni inventerar och kartlägger era personuppgiftsbehandlingar. Med ett digitalt registerföringsverktyg är det enkelt för er att hålla era behandlingar uppdaterade och skapa rutiner för att granska och gallra olika personuppgiftsbehandlingar och på så sätt säkerställa efterlevnad av GDPR. En ytterligare fördel är att det är enkelt att hitta vilka behandlingar utförs kopplade till en viss person, vilket gör det smidigt att tillgodose registrerades rätt till tillgång (artikel 15), som även kallas registerutdrag.
Vem kan begära ut registerutdrag?
En registrerad, det vill säga en person vars personuppgifter behandlas, har rätt att vända sig till er för att få veta om, och i så fall vilka personuppgifter ni behandlar om denne. Om ni behandlar en individs personuppgifter som begär ett registerutdrag måste ni tillhandahålla en kopia på dessa uppgifter och lämna information om bland annat:
- Varifrån uppgifterna kommer
- Vad personuppgifterna används till
- Vilken typ av personuppgifter som behandlas
- Hur länge uppgifterna kommer sparas
- Vilka uppgifterna kommer delas med
Det finns såklart situationer då vissa uppgifter inte ska lämnas ut. Till exempel på grund av annan lagstiftning, eller om ett utlämnande av informationen skulle kunna innebära skada eller nackdel för andra.
Vårt digitala registerförteckningsverktyg hjälper er ta fram grunddokumentationen för att besvara förfrågningar om registerutdrag.