Registerförteckning

Alla verksamheter som behandlar personuppgifter är skyldiga att föra protokoll över alla behandlingar. Detta beskrivs i artikel 30 i dataskyddsförordningen (GDPR).

Vad är en behandling?

All lagring och användning av personuppgifter är en behandling. Och om du använder en personuppgift för olika ändamål är det igen olika behandlingar. Ändamål och dess behandlingsgrund är mycket centralt i GDPR. Här är ett litet exempel med olika behandlingar på samma data:

• Verksamheten tar emot och lagrar data om kunden vid ett köp. Ett köp är ett avtal mellan verksamheten och kunden, så behandlingsgrunden för att lagra dessa data är att det är "nödvändigt för att fullgöra ett avtal som den registrerade är part i".
• Verksamheten vill också använda information om var kunden bor för att marknadsföra olika produkter som bara är tillgängliga för kunder i en viss del av landet. Behandlingsgrunden här kan vara samtycke eller verksamhetens berättigade intresse.
• Verksamheten vill skapa analyser över sin försäljning och använder bl.a. kundernas adress för att se hur mycket de säljer på olika platser i landet. Behandlingsgrunden för detta är verksamhetens berättigade intresse.
• Verksamheten vill skapa en webbsida som anpassar sig efter kunden och använder bl.a. kundens adress för att anpassa innehållet på webbsidan. Behandlingsgrunden för detta är verksamhetens berättigade intresse.

I exemplet ovan gör verksamheten olika behandlingar för olika ändamål. Varje ändamål är en egen behandling och måste därför dokumenteras i registerförteckningen. I detta fall involverar alla behandlingar kundens adress. Det räcker alltså inte med att bara dokumentera behandlingen som lagrar data, utan alla behandlingar som använder datan måste också dokumenteras.

Hur görs detta i praktiken?

Det enklaste sättet, om du inte har väldigt många behandlingar, är att använda Integritetsskyddsmyndigheten mall för registerförteckning. Ett tips är att lägga registerförteckningen online, i Office 365, Google docs eller liknande, och låta alla anställda ha läsrättigheter. Endast anställda som ska ändra registerförteckningen bör ha skrivrättigheter. Att ge alla anställda läsrättigheter är bra för medvetandegörandet och utbildningen i dataskyddsarbetet, och det leder ofta också till att anställda upptäcker och rapporterar fel och brister. Kom också ihåg att ordna regelbundna möten där man kontrollerar att registerförteckningen är aktuell.