De flesta VD:ar och HR-ansvariga på SME-bolag vet att de ska ha en registerförteckning. Färre vet exakt vad den ska innehålla — och ännu färre har en som faktiskt håller vid en granskning.
Den här artikeln reder ut vad som krävs, vad som ofta saknas och hur ni kommer i mål utan att anlita en jurist.
Vad är en registerförteckning?
En registerförteckning (på GDPR-språk: “register över behandlingar”) är en intern dokumentation av hur ert bolag hanterar personuppgifter. Det är inte ett formulär ni skickar in till någon myndighet — det är ett levande dokument som ska finnas tillgängligt om Integritetsskyddsmyndigheten (IMY) begär det.
Alla bolag med fler än 250 anställda är skyldiga att ha en. Men även mindre bolag — inklusive de flesta SME-bolag — är skyldiga om behandlingarna inte är sporadiska, rör känsliga uppgifter eller kan innebära en risk för de registrerade. I praktiken gäller kravet nästan alla bolag som hanterar anställdas eller kunders personuppgifter regelbundet.
Vad ska ingå i varje post?
För varje behandling ni dokumenterar ska följande framgå:
Namn och kontaktuppgifter till den personuppgiftsansvarige — det vill säga ert bolag, och i förekommande fall ert dataskyddsombud.
Ändamålet med behandlingen — varför ni behandlar uppgifterna. “Marknadsföring” räcker inte. “Skicka nyhetsbrev till befintliga kunder som aktivt prenumererat” är bättre.
Kategorier av registrerade — vilka personer det handlar om. Anställda, kunder, leverantörer, webbplatsbesökare?
Kategorier av personuppgifter — vilka uppgifter ni faktiskt behandlar. Namn och e-post är en sak. Hälsouppgifter eller personnummer är en annan och kräver extra motivering.
Mottagare — vilka som tar del av uppgifterna, inklusive externa leverantörer (era personuppgiftsbiträden).
Tredjelandsöverföringar — om uppgifter skickas utanför EU/EES, t.ex. till ett CRM-system med servrar i USA.
Lagringstid — hur länge ni sparar uppgifterna och varför.
Rättslig grund — varför ni lagligt får behandla uppgifterna. Vanligaste grunderna är avtal, rättslig förpliktelse, berättigat intresse och samtycke.
De vanligaste felen vi ser
Det saknas ofta: anställdas uppgifter i rekryteringsprocessen, behandling i ekonomisystem och lönehantering, kameraövervakning, och cookies och webbanalys.
Det är också vanligt att lagringstider saknas eller är vaga (“vi sparar så länge det behövs” duger inte), och att tredjelandsöverföringar missar vanliga SaaS-verktyg som Google Workspace, HubSpot eller Slack — som alla hanterar data utanför EU.
Hur håller ni den uppdaterad?
En registerförteckning är inte ett projekt — det är ett ansvar. Sätt ett återkommande tillfälle en gång per år, helst kopplat till er verksamhetsplanering, där ni går igenom om något förändrats: nya system, nya behandlingar, nya leverantörer.
Tilldela en ägare. Inte “alla” — en person som är ansvarig för att förteckningen är aktuell.
Sammanfattning
En registerförteckning behöver inte vara komplicerad. Den behöver vara korrekt, fullständig och hållas levande. Börja med de behandlingar som är uppenbara — anställda, kunder, fakturering — och bygg ut därifrån. En halvfärdig förteckning som uppdateras regelbundet är alltid bättre än ett perfekt dokument som stämde för tre år sedan.