Dataskydd

Registerförteckning enligt GDPR (art. 30) 2026: guide + mall

Registerförteckning enligt artikel 30 GDPR: vad den ska innehålla, när den krävs, IMY:s förväntningar och en praktisk mall för svenska organisationer 2026.

En registerförteckning enligt artikel 30 i dataskyddsförordningen är en strukturerad dokumentation av alla personuppgiftsbehandlingar som en organisation utför. Den ska innehålla ändamålen med behandlingen, kategorierna av registrerade och personuppgifter, mottagarna, eventuella tredjelandsöverföringar, planerade gallringsfrister och en beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna. Registerförteckningen är det första dokument IMY begär in vid en tillsyn, och den utgör ryggraden i hela dataskyddsarbetet: utan ett komplett och aktuellt register saknas grunden för att uppfylla nästan alla andra skyldigheter. Den här guiden förklarar vad registret ska innehålla, när det krävs och hur du bygger ett som håller.

Vad kräver artikel 30?

Artikel 30 i dataskyddsförordningen ålägger både personuppgiftsansvariga och personuppgiftsbiträden att föra ett register. De två rollerna för olika register:

Den personuppgiftsansvariges register (art. 30.1) ska innehålla:

  • Namn och kontaktuppgifter för den ansvarige och, i förekommande fall, dataskyddsombudet
  • Ändamålen med behandlingen
  • Kategorier av registrerade och av personuppgifter
  • Kategorier av mottagare
  • Eventuella överföringar till tredjeland och tillämpliga skyddsåtgärder
  • Planerade tidsfrister för gallring
  • En allmän beskrivning av de tekniska och organisatoriska säkerhetsåtgärderna (art. 32)

Personuppgiftsbiträdets register (art. 30.2) är mer begränsat och beskriver de kategorier av behandling som utförs för varje ansvarig.

När krävs en registerförteckning?

Artikel 30.5 innehåller ett skenbart undantag för organisationer med färre än 250 anställda. I praktiken är undantaget nästan alltid verkningslöst, eftersom det inte gäller om behandlingen:

  • inte är tillfällig, eller
  • kan medföra en risk för de registrerades rättigheter, eller
  • omfattar känsliga personuppgifter (art. 9) eller uppgifter om lagöverträdelser.

Varje organisation som har anställda, driver en webbplats med analysverktyg eller har ett kundregister utför regelbunden behandling och omfattas därmed. I praktiken behöver alltså i stort sett alla svenska verksamheter en registerförteckning.

Vad ska registret innehålla? Fältöversikt

Fält Beskrivning Exempel
Behandlingens namn Kort benämning Lönehantering
Ändamål Varför uppgifterna behandlas Utbetalning av lön
Rättslig grund Grund enligt art. 6 (och art. 9) Rättslig förpliktelse
Registrerade Kategorier av personer Anställda
Personuppgifter Kategorier av uppgifter Namn, personnummer, kontouppgift
Mottagare Vem uppgifterna delas med Bank, Skatteverket
Tredjelandsöverföring Land och skyddsåtgärd Ingen / SCC
Gallringsfrist När uppgifterna raderas 7 år efter avslutad anställning
Säkerhetsåtgärder Tekniska och organisatoriska (art. 32) Behörighetsstyrning, kryptering

Praktisk mall och arbetssätt

Ett fungerande register byggs behandling för behandling. Börja med att kartlägga verksamhetens processer – HR, lön, kundhantering, marknadsföring, IT-drift – och dokumentera varje behandling enligt fälten ovan. Ett vanligt misstag är att beskriva system i stället för behandlingar: registret ska svara på varför uppgifter behandlas, inte bara var de lagras.

Kalkylark fungerar för en första version men blir snabbt inaktuella. Registret är ett levande dokument som ska uppdateras när nya behandlingar tillkommer, gallringsfrister ändras eller nya leverantörer anlitas. Här ger en dedikerad lösning tydlig avkastning: plattformar som Legiscope genererar registret utifrån vägledda frågor och håller det aktuellt, vilket eliminerar den manuella uppdatering som annars gör att registret tappar sitt värde inom veckor.

Registret hänger nära ihop med två andra dokument: personuppgiftsbiträdesavtalen, som styr de mottagare och underbiträden registret pekar på, och bedömningen av om ni behöver ett dataskyddsombud, som bygger på vilka behandlingar registret visar. Ett komplett register gör dessutom valet av GDPR-programvara enklare, eftersom ni då vet er verkliga volym.

Vanliga misstag

  • Systembeskrivning i stället för behandlingsbeskrivning. Registret ska utgå från ändamål, inte från IT-system.
  • Saknad rättslig grund. Varje behandling måste ha en dokumenterad grund enligt artikel 6, och känsliga uppgifter dessutom en grund enligt artikel 9.
  • Föråldrade uppgifter. Ett register som inte uppdateras är i praktiken värdelöst vid en tillsyn.
  • Otydliga gallringsfrister. “Så länge det behövs” är inte en frist. Ange konkreta tider.

Exempel: en typisk registerpost för HR

För att göra det konkret, så här kan en post för personaladministration se ut när den är komplett:

  • Behandling: Personaladministration
  • Ändamål: Administrera anställningsförhållanden, lön och förmåner
  • Rättslig grund: Avtal (art. 6.1 b) för anställningsförhållandet; rättslig förpliktelse (art. 6.1 c) för skatte- och arbetsrättsliga skyldigheter
  • Registrerade: Anställda, tidigare anställda, arbetssökande
  • Personuppgifter: Namn, personnummer, kontaktuppgifter, kontonummer, lönebesked; vid sjukfrånvaro även hälsouppgifter (art. 9)
  • Mottagare: Lönebyrå (personuppgiftsbiträde), Skatteverket, Försäkringskassan, tjänstepensionsbolag
  • Tredjelandsöverföring: Ingen, om systemen är EU-baserade
  • Gallringsfrist: Löneunderlag sparas sju år enligt bokföringslagen; ansökningshandlingar från ej anställda gallras inom viss tid efter avslutad rekrytering
  • Säkerhetsåtgärder: Behörighetsstyrning, kryptering, loggning

Lägg märke till att en enda behandling ofta har flera rättsliga grunder för olika delar, och att känsliga uppgifter (hälsa) kräver en särskild grund enligt artikel 9. Just denna nyansering är vad en tom kalkylarksmall sällan fångar.

Registret som grund för DPIA och incidenthantering

Registerförteckningen är inte ett isolerat dokument utan navet i hela styrningen. Den bedömning som avgör om en konsekvensbedömning (DPIA) enligt art. 35 krävs bygger direkt på registret: det är där ni ser vilka behandlingar som omfattar känsliga uppgifter, storskalig övervakning eller profilering med rättsliga följder. Utan ett komplett register går det inte att systematiskt identifiera de behandlingar som utlöser DPIA-plikten, och ni riskerar att missa just de högriskbehandlingar som IMY och Europeiska dataskyddsstyrelsen (EDPB) prioriterar i sin vägledning.

Samma logik gäller vid en personuppgiftsincident. När ni ska anmäla en incident till IMY inom 72 timmar (art. 33) behöver ni omedelbart veta vilka kategorier av registrerade och uppgifter som berörs, vilka mottagare som fått del av dem och vilka säkerhetsåtgärder som fanns på plats. Ett aktuellt register gör den bedömningen till en uppslagning i stället för en utredning under tidspress. Registret matar alltså både proaktiva skyldigheter (DPIA, gallring) och reaktiva (incidentanmälan) – vilket är skälet till att IMY behandlar det som en indikator på hela dataskyddsmognaden.

Registret vid en tillsyn

När IMY inleder en granskning är registret oftast det första som begärs in, och det används som karta för resten av tillsynen. Ett komplett register visar att organisationen har kontroll; ett ofullständigt eller föråldrat register signalerar motsatsen och kan leda till att granskningen breddas. IMY har genom åren utfärdat kännbara sanktionsavgifter i ärenden där bristande dokumentation och styrning varit en del av bilden – se myndighetens samlade tillsynsbeslut för aktuella exempel. Håll därför registret uppdaterat löpande, inte inför en befarad tillsyn – och dokumentera vem som ansvarar för uppdateringen och hur ofta den sker. Det är denna löpande aktualitet, snarare än den första versionen, som skiljer ett värdefullt register från ett formellt.

Vanliga frågor

Måste små företag föra en registerförteckning?

I praktiken ja. Undantaget för organisationer under 250 anställda gäller inte vid regelbunden behandling, behandling som kan innebära risk eller behandling av känsliga uppgifter – och nästan all normal verksamhet med anställda och kunder omfattas av minst ett av dessa villkor.

Vad kostar det att föra ett register?

Med kalkylark är den direkta kostnaden noll men den interna tiden hög, särskilt för underhållet. En SME-plattform som automatiserar register och uppdateringar kostar typiskt 15 000–40 000 kronor per år; se vår kostnadsguide. Kostnaden ska vägas mot IMY:s sanktionsavgifter och den tid som annars läggs på manuellt underhåll.

Vad händer om IMY begär in registret och det saknas?

Avsaknad av registerförteckning är i sig en överträdelse av artikel 30 och kan leda till en sanktionsavgift. Ett ofullständigt eller inaktuellt register signalerar dessutom bristande styrning, vilket är en försvårande omständighet i en bredare tillsyn.

Hur ofta ska registret uppdateras?

Dataskyddsförordningen anger inget fast intervall, men kravet på att registret ska vara aktuellt (art. 30) innebär i praktiken att det ska uppdateras vid varje väsentlig förändring: när en ny behandling införs, när en ny leverantör eller ett nytt system tas i bruk, när ändamålet eller den rättsliga grunden ändras, eller när en gallringsfrist justeras. Utöver denna löpande uppdatering är en årlig genomgång god praxis, gärna kopplad till översynen av biträdesavtalen. Ansvaret för uppdateringen bör vara tydligt utpekat – ofta hos dataskyddsombudet eller en utsedd samordnare – eftersom ett register utan tydlig ägare snabbt förfaller. Det är just detta löpande underhåll som ett verktyg med automatiska påminnelser och versionshistorik gör hanterbart.

Slutsats

Registerförteckningen är grunden i allt dataskyddsarbete och det första IMY vill se. Den ska dokumentera varje behandling med ändamål, rättslig grund, kategorier, mottagare, gallringsfrister och säkerhetsåtgärder – behandling för behandling. Undantaget för mindre organisationer är i praktiken verkningslöst, så i princip alla svenska verksamheter behöver ett register. Bygg det utifrån ändamål snarare än system, ange konkreta gallringsfrister och håll det levande. Det manuella underhållet är den verkliga kostnaden, och det är där ett dedikerat verktyg betalar sig.

Legiscope automates this for you

Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.

Start free trial
TD
Written by
Fondateur de Legiscope et expert RGPD

Docteur en droit de l'Université Panthéon-Assas (Paris II), 23 ans d'expérience en droit du numérique et conformité RGPD. Ancien conseiller de l'administration du Premier ministre sur la mise en œuvre du RGPD. Thiébaut est le fondateur de Legiscope, plateforme de conformité RGPD automatisée par l'IA.

View full author profile →