Vad är en registerförteckning (RoPA)?

Artikel 30 GDPR kräver att varje personuppgiftsansvarig och personuppgiftsbiträde upprätthåller en registerförteckning. Det finns ett begränsat undantag för organisationer med färre än 250 anställda, men detta undantag är så snävt att det nästan aldrig gäller i praktiken: det omfattar bara organisationer som behandlar personuppgifter tillfälligt, inte behandlar särskilda kategorier av uppgifter och inte behandlar uppgifter som kan utgöra en risk för enskilda. I praktiken behöver i stort sett varje organisation som hanterar anställdas uppgifter, kunduppgifter eller webbplatsbesökares uppgifter en registerförteckning. Det innebär att den stora majoriteten av dina klienter — oavsett storlek — är juridiskt skyldiga att upprätthålla en. Som externt dataskyddsombud är du vanligtvis ansvarig för att skapa, underhålla och uppdatera registerförteckningar för var och en av dina klienter. Med 10–20 klienter kan detta snabbt bli en betydande administrativ börda om det hanteras manuellt.

Artikel 30(1) specificerar det obligatoriska innehållet för personuppgiftsansvariga. Varje post för en behandlingsaktivitet måste innehålla: namn och kontaktuppgifter för den personuppgiftsansvarige och dataskyddsombudet, ändamålen med behandlingen, en beskrivning av kategorierna av registrerade och personuppgifter, kategorierna av mottagare, överföringar till tredjeländer inklusive skyddsåtgärder, planerade lagringsperioder och en allmän beskrivning av tekniska och organisatoriska säkerhetsåtgärder. För personuppgiftsbiträden kräver artikel 30(2) en något annorlunda uppsättning information: namn och kontaktuppgifter för biträdet och varje ansvarig för vars räkning behandling utförs, kategorierna av behandling som utförs, överföringar till tredjeländer och, där möjligt, en beskrivning av säkerhetsåtgärder. Många tillsynsmyndigheter rekommenderar att gå utöver minimikraven. Att lägga till den rättsliga grunden för varje behandlingsaktivitet, uppgifternas källa och huruvida automatiserat beslutsfattande förekommer gör registerförteckningen mer användbar som ett efterlevnadshanteringsverktyg — inte bara en kryssruteövning.

Det vanligaste misstaget är att behandla registerförteckningen som ett engångsprojekt snarare än ett levande dokument. Behandlingsaktiviteter förändras — ny programvara införs, dataflöden ändras, lagringsperioder uppdateras. En registerförteckning som var korrekt i januari kan vara föråldrad i mars. Ett annat vanligt problem är inkonsekvent detaljnivå. Vissa dataskyddsombud dokumenterar varje enskilt system som en separat behandlingsaktivitet och hamnar med hundratals poster som är omöjliga att underhålla. Andra grupperar allt i fem eller sex breda kategorier som saknar den specificitet som tillsynsmyndigheter förväntar sig. Rätt detaljnivå innebär vanligtvis 15–40 behandlingsaktiviteter för en medelstor organisation. Slutligen hanterar många dataskyddsombud registerförteckningar i Excel-kalkylblad — vilket fungerar för en eller två klienter men bryter ihop i större skala. Ingen versionshantering, inga granskningspåminnelser, inga strukturerade fält och inget sätt att generera revisionsredo exporter. Det är här dedikerade verktyg gör en mätbar skillnad.

Nyckeln till effektiv hantering av registerförteckningar är struktur och automatisering. Börja med branschspecifika mallar som förifyller vanliga behandlingsaktiviteter — ett e-handelsföretag och en vårdgivare har väldigt olika behandlingslandskap, men företag inom samma bransch delar 70–80 % av sina aktiviteter. Ange granskningsdatum för varje behandlingsaktivitet. De flesta tillsynsmyndigheter förväntar sig årliga granskningar som minimum, men kritiska behandlingsaktiviteter bör granskas när en betydande förändring sker. Automatiska påminnelser säkerställer att inget faller mellan stolarna. Versionshantering är avgörande för ansvarsskyldighet. När en tillsynsmyndighet frågar om en specifik behandlingsaktivitet behöver du kunna visa inte bara det aktuella tillståndet utan hela ändringshistoriken — vem som uppdaterade vad och när. Denna revisionslogg skyddar både dig och din klient. För externa dataskyddsombud som hanterar flera klienter eliminerar ett multi-tenant-verktyg som Trustee.eu overheaden med att underhålla separata system. Du kan använda samma mallar för klienter i samma bransch, generera revisionsredo PDF-filer med ett klick och se i en överblick vilka klienter som har försenade granskningar av registerförteckningar.