"Visa oss er registerförteckning" är ofta första punkten på agendan när IMY inleder tillsyn. Saknas dokumentet, är det bristfälligt eller inte synkroniserat med ert övriga GDPR-arbete — det är en överträdelse i sig enligt GDPR Artikel 30. Tillsammans med konsekvensbedömningar enligt Artikel 35 (DPIA) utgör registerförteckningen ryggraden i ansvarsskyldigheten (Art. 5.2).

Denna guide täcker både dokumenten: vad de ska innehålla, hur de hänger ihop, IMY:s 9-kriterier för DPIA, konkreta sanktionsexempel, och en färdig svensk mall för båda. Källor: GDPR Art. 30 + 35, IMY:s vägledning om registerförteckning, IMY:s vägledning om konsekvensbedömning, EDPB Guidelines om DPIA, och offentligt tillgängliga IMY-sanktionsbeslut.

Vad är en registerförteckning?

Registerförteckningen — även kallad behandlingsregister eller Artikel 30-register — är ett dokument som listar samtliga behandlingar av personuppgifter i organisationen. Det är ett INTERNT dokument (inte publikt) som beskriver vad ni gör med personuppgifter, varför och hur.

Förväxla inte med:

• Registerutdrag (Art. 15): information som lämnas till en INDIVID på begäran om vilka personuppgifter ni har om dem
• Integritetspolicy: publik information på er webbplats om er behandling
• Logg av åtkomst: teknisk logg över vilka anställda som åtkomit specifika data

Registerförteckningen är metadata om er behandling, inte konkreta personuppgifter. Den ska INTE innehålla personuppgifter om registrerade — endast om er egen organisations kontaktpersoner (ansvarig, DSO, etc.).

Vem ska föra registerförteckning?

I praktiken alla organisationer som behandlar personuppgifter. GDPR Art. 30.5 har ett undantag, men det är så snävt att det sällan gäller:

Undantaget kräver att ALLA tre villkor är uppfyllda:

1. Organisationen har färre än 250 anställda
2. Behandlingen är tillfällig (inte återkommande eller systematisk)
3. Behandlingen inkluderar inte känsliga personuppgifter (Art. 9) eller brottsuppgifter (Art. 10)

I praktiken: en redovisningsbyrå som hanterar löner gör inte "tillfällig" behandling — löner är systematiska. Ett webbutiksföretag med kunder gör inte heller "tillfällig" behandling. Undantaget tillämpas i praktiken nästan aldrig.

IMY:s rekommendation: Alla för register oavsett storlek. Det är dessutom enklare att börja med register tidigt än att rekonstruera det när organisationen växt.

Olika krav för personuppgiftsansvariga och biträden

GDPR Art. 30 har två separata listor — för personuppgiftsansvariga (Art. 30.1) och för personuppgiftsbiträden (Art. 30.2). De är inte identiska. Om ert företag är både ansvarig (för egen kunddata) och biträde (för någon annans data), behövs två separata förteckningar.

Vad ska förteckningen innehålla?

För personuppgiftsansvariga (Art. 30.1)

Minimikrav:

1. Namn och kontaktuppgifter för: personuppgiftsansvarig (samt gemensamt ansvariga om tillämpligt), personuppgiftsansvarigs företrädare, dataskyddsombud (om utsett)
2. Ändamål med behandlingen — vad ska data användas till?
3. Kategorier av registrerade — kunder, anställda, leverantörers kontaktpersoner, barn, etc.
4. Kategorier av personuppgifter — namn, kontaktuppgifter, ekonomiska uppgifter, hälsouppgifter, etc.
5. Mottagare eller kategorier av mottagare — vilka andra organisationer får tillgång?
6. Tredjelandsöverföringar — om data går utanför EU/EES, vilka länder och vilka skyddsåtgärder?
7. Gallringstider — när raderas data? Om exakta tider inte kan anges, dokumentera kriterier
8. Allmän beskrivning av säkerhetsåtgärder enligt Art. 32 (tekniska + organisatoriska)

För personuppgiftsbiträden (Art. 30.2)

Minimikrav:

1. Namn och kontaktuppgifter för: biträdet, varje personuppgiftsansvarig biträdet arbetar för, biträdets företrädare, dataskyddsombud (om utsett)
2. Kategorier av behandlingar som utförs för varje ansvarig
3. Tredjelandsöverföringar med skyddsåtgärder
4. Allmän beskrivning av säkerhetsåtgärder

Vad kan läggas till utöver minimikraven?

GDPR-kraven är minimikrav. Många organisationer lägger till ytterligare fält för att förenkla det löpande arbetet och visa ansvarsskyldighet:

• Rättslig grund (Art. 6) — samtycke, avtal, rättslig förpliktelse, vitalt intresse, allmänt intresse, eller berättigat intresse
• Källa till uppgifterna — direkt från registrerad, från tredje part, offentliga register
• Systemnamn — vilket IT-system används?
• Lagringsplats — fysisk plats eller molnregion
• Behandlingsansvarig avdelning — HR, IT, ekonomi, marknad
• Eventuell DPIA-status — krävs DPIA? Är den klar? Datum?
• Tillhörande PUB-avtal — länk till avtalet med biträdet
• Revisionsdatum — när granskades behandlingen senast?

Process: hur bygger ni er förteckning?

DirSys rekommenderar att börja på processnivå snarare än systemnivå. Skäl: processer förändras mindre ofta än IT-system, och processfokus gör arbetet verksamhetsnära istället för teknik-tungt.

Steg 1: Kartlägg processerna

Lista huvudprocesser där personuppgifter förekommer:

• Rekrytering och anställning
• Löneadministration
• Kundhantering och försäljning
• Marknadsföring (e-postutskick, webbplatsanalys)
• Leverantörshantering
• Supportärenden
• Webbplatsanalys (Google Analytics, etc.)

Steg 2: Bryt ner till delprocesser

För "Kundhantering" kan delprocesser vara: lead-hantering, offert, kundavtal, fakturering, support, retention.

Steg 3: Identifiera personuppgifter per delprocess

För varje delprocess: vilka uppgifter samlas in? Från vem? Vart skickas de? Hur länge sparas de?

Steg 4: Dokumentera enligt mallen

Använd den färdiga mall som finns längre ner i denna artikel som utgångspunkt.

Steg 5: Korsreferera med PUB-avtal

För varje mottagare som är personuppgiftsbiträde — finns det ett PUB-avtal? Är det aktuellt? Detta är samma cross-link som beskrivs i vår PUB-avtal-guide.

DPIA — konsekvensbedömning enligt Art. 35

Registerförteckningen visar VAD ni gör. DPIA (Data Protection Impact Assessment, konsekvensbedömning) analyserar RISKERNA med specifika behandlingar och kräver aktiva åtgärder för att hantera dem.

DPIA är inte ett krav för ALLA behandlingar — endast för de som sannolikt medför hög risk för registrerades rättigheter och friheter.

När krävs DPIA enligt GDPR Art. 35.3?

Tre situationer kräver alltid DPIA:

1. Systematisk omfattande utvärdering baserad på automatiserade beslut eller profilering med rättsliga eller liknande betydande följder
2. Storskalig behandling av särskilda kategorier (Art. 9: hälsa, sexualitet, politik, religion, fackmedlemskap, biometri, genetik) eller brottsuppgifter (Art. 10)
3. Systematisk övervakning av offentlig plats i stor skala — kamerabevakning, spårning

IMY:s 9 kriterier (Art. 35.4)

IMY har publicerat en kompletterande lista med 9 kriterier. Minst 2 av 9 → DPIA är obligatorisk:

1. Utvärderar eller poängsätter människor (kreditbedömning, profilering av internetanvändare)
2. Automatiserade beslut med rättsliga följder eller liknande betydande följder
3. Systematisk övervakning (kameraövervakning av offentlig plats, beteendespårning)
4. Känsliga uppgifter eller höggradigt personliga uppgifter (Art. 9 eller motsvarande integritetskänslig data)
5. Storskalig behandling (många registrerade, stort geografiskt område, lång varaktighet)
6. Matchning eller kombination av datauppsättningar från olika behandlingar med olika ändamål
7. Uppgifter om sårbara registrerade — barn (i skola/vård), äldre, asylsökande, anställda (beroendeställning)
8. Innovativ användning eller tillämpning av nya tekniska/organisatoriska lösningar (AI, IoT, biometri)
9. Behandling som hindrar registrerade från att utöva en rättighet eller använda en tjänst

För en svensk SMB är typiska triggers: anställdadata kombinerat med systematisk övervakning (kriterium 7+3 = DPIA krävs), eller marknadsföringsprofilering av webbplatsbesökare i stor skala (kriterium 1+5).

Vad ska en DPIA innehålla? (Art. 35.7)

GDPR-minimikrav, fyra grundläggande element:

1. Systematisk beskrivning av den planerade behandlingen och dess syfte
2. Bedömning av nödvändighet och proportionalitet — behövs ALLT data ni samlar in? Finns mindre integritetskränkande alternativ?
3. Riskbedömning för registrerades rättigheter och friheter
4. Planerade åtgärder för att hantera riskerna och visa GDPR-efterlevnad

Dessutom: dokumentera att ni rådgjort med dataskyddsombud (om sådan finns) och inhämtat synpunkter från registrerade eller deras företrädare när det är lämpligt.

IMY:s 10-stegs vägledning

IMY har publicerat en praktisk 10-stegs-guide för DPIA. Stegen i sammanfattning:

1. Bedöm om DPIA krävs (med hjälp av IMY:s checklista)
2. Projektstart — definiera scope, tidplan, deltagare
3. Kartlägg behandlingen systematiskt
4. Bedöm nödvändighet och proportionalitet
5. Riskhantering (kan dokumenteras i IMY:s Excel-blad)
6. Riskreducerande åtgärder
7. Sammantagen bedömning — kvarstår hög risk?
8. Dokumentera rådgivning med DSO
9. Inhämta synpunkter från registrerade (när lämpligt)
10. Översyn och uppdatering

Vi länkar till IMY:s mall i källförteckningen — den är på 60+ sidor men strukturerad.

Förhandssamråd med IMY (Art. 36)

Om DPIA visar att hög risk kvarstår även EFTER planerade åtgärder, måste ni samråda med IMY INNAN behandlingen påbörjas (Art. 36). IMY kan:

• Ge rådgivning och förslag
• Begära förändringar i behandlingen
• I sista hand förbjuda behandlingen

I praktiken är förhandssamråd sällsynt för svenska SMB:er. De vanligaste fallen är offentliga myndigheter med storskalig biometri, AI-baserade beslutssystem, eller liknande hög-risk-projekt.

IMY:s sanktioner — verkliga exempel

IMY har utdömt flera sanktionsbeslut för utebliven eller bristfällig DPIA. Konkreta fall (alla publika via imy.se):

4 miljoner kronor — En kommun behandlade personuppgifter i en skolplattform utan att ha genomfört nödvändig konsekvensbedömning. Stora system med många barn registrerade och känsliga uppgifter — vilket triggade både IMY:s kriterier för storskalig behandling, sårbara registrerade, och känsliga uppgifter.

300 000 kronor — En kommun införde en digital skolplattform på 24 skolor utan föregående DPIA. Lägre sanktion än ovan men fortfarande betydande.

200 000 kronor — En kommun kamerabevakade en boende på ett LSS-boende i strid med både GDPR och kamerabevakningslagen. Kraven på DPIA var inte uppfyllda. Här triggade systematisk övervakning + sårbara registrerade.

För svenska SMB-företag är realistiska sanktionsnivåer normalt 50 000 - 500 000 SEK för enskilda DPIA-överträdelser, baserat på IMY:s historiska beslut för privata aktörer. Stora bolag och offentliga organisationer har sett betydligt högre belopp.

Sanktion enligt Art. 83.4 (lägre nivå): upp till 10 miljoner EUR eller 2 procent av global årsomsättning — det högre.

Synkronisering: registerförteckning + DPIA + PUB-avtal

De tre dokumenten utgör tillsammans kärnan i ansvarsskyldigheten enligt GDPR Art. 5.2. En vanlig brist vid IMY-tillsyn är inkonsekvens mellan dem.

Hur de hänger ihop:

• Registerförteckningen listar VILKA behandlingar som sker (Art. 30)
• DPIA görs för behandlingar med hög risk identifierade i registerförteckningen (Art. 35)
• PUB-avtal reglerar behandlingar där en extern part hanterar uppgifter åt er (Art. 28)

Praktiskt: Om er registerförteckning säger "kundregister lagras i Salesforce med data om 50 000 kunder", då måste:

• PUB-avtal med Salesforce existera och vara aktuellt
• Säkerhetsåtgärder i registerförteckningen matcha vad Salesforce faktiskt erbjuder
• Eventuell DPIA (om kriterier triggas — kanske kriterium 1 om kund-profilering används) ska finnas

Vid tillsyn jämför IMY ofta dessa tre dokument för att hitta inkonsekvenser.

Hitta tredjepartstjänster på er webbplats med skanning

Många organisationer underskattar antalet tredjepartstjänster på sin egen webbplats. Google Analytics, Meta Pixel, Hotjar, Intercom, Mailchimp, Stripe, Cloudflare — varje sådan tjänst behandlar besökares personuppgifter och ska finnas i er registerförteckning.

Northverify scannar er webbplats och listar alla detekterade tredjepartstjänster, deras typ (analys, marknadsföring, support, betalning, säkerhet) och om de kräver samtycke. Det är ett praktiskt sätt att inventera vad er registerförteckning faktiskt behöver dokumentera.

Färdig svensk mall — registerförteckning

Använd denna mall som utgångspunkt. Den täcker GDPR Art. 30-kraven plus några rekommenderade extra fält. Mallen är generisk — anpassa till er specifika verksamhet.

``` REGISTERFÖRTECKNING ENLIGT GDPR ART. 30

Senast uppdaterad: [YYYY-MM-DD] Granskningsansvarig: [Namn, roll]

ALLMÄN INFORMATION

Personuppgiftsansvarig: [Företag AB, org.nr XXXXXX-XXXX] Adress: [Gatuadress, postnr, ort] Kontakt dataskydd: [e-post] Dataskyddsombud: [Namn / "ej utsett"] Gemensamt ansvarig (om tillämpligt): [Annan organisation + ansvarsfördelning]

========================================== BEHANDLING [LÖPNUMMER]: [BENÄMNING]

1. ÄNDAMÅL Varför sker behandlingen? [Konkret beskrivning, inte generisk]

2. RÄTTSLIG GRUND (Art. 6) [ ] Samtycke (Art. 6.1.a) [ ] Avtal (Art. 6.1.b) [ ] Rättslig förpliktelse (Art. 6.1.c) [ ] Vitalt intresse (Art. 6.1.d) [ ] Allmänt intresse / myndighetsutövning (Art. 6.1.e) [ ] Berättigat intresse (Art. 6.1.f) — intresseavvägning bifogad: [referens]

   Vid känsliga uppgifter (Art. 9), ange även undantag enligt Art. 9.2: [ ] 9.2.a uttryckligt samtycke [ ] 9.2.b arbetsrätt/socialförsäkring [ ] [annat — specificera]

3. KATEGORIER AV REGISTRERADE [ ] Kunder [ ] Anställda [ ] Sökande [ ] Leverantörers kontaktpersoner [ ] Webbplatsbesökare [ ] Barn [ ] Annat: [_____]

4. KATEGORIER AV PERSONUPPGIFTER [ ] Namn [ ] Kontaktuppgifter (e-post, telefon, adress) [ ] Personnummer / nationellt ID [ ] Ekonomiska uppgifter (kontonr, kortuppgifter) [ ] Lokationsdata [ ] Inloggningsuppgifter / sessionscookies [ ] Beteendedata / användningsmönster [ ] IP-adresser [ ] Hälsouppgifter (Art. 9) [ ] Andra känsliga uppgifter Art. 9: [] [ ] Brottsuppgifter (Art. 10) [ ] Barn-relaterade uppgifter [ ] Annat: []

5. KÄLLA TILL UPPGIFTER [ ] Direkt från registrerad [ ] Från tredje part: [] [ ] Offentliga register [ ] Webbsläktanalys [ ] Annat: []

6. MOTTAGARE Interna mottagare (avdelningar): [] Externa mottagare (företag): []

   För varje extern mottagare som är biträde:

   • Företagsnamn:
   • PUB-avtal datum:
   • Underbiträden lista (URL eller intern referens):

7. TREDJELANDSÖVERFÖRING [ ] Ingen överföring utanför EU/EES [ ] Överföring till: [Land] Skyddsmekanism: [ ] Adekvansbeslut (Art. 45) [ ] SCC 2021/914 (Art. 46) [ ] EU-U.S. Data Privacy Framework [ ] BCR (Art. 47) [ ] Annat: [_____] Transfer Impact Assessment (TIA) genomförd: [Datum / ej tillämplig]

8. GALLRING / LAGRINGSTID Lagras under: [Tidsperiod eller kriterier] Lagstadgade krav: [t.ex. bokföringslagen 7 år] Process för radering: [Manuell / automatisk] Senast genomförd radering: [Datum]

9. TEKNISKA OCH ORGANISATORISKA SÄKERHETSÅTGÄRDER (Art. 32) Tekniska: [ ] Kryptering vid lagring [ ] Kryptering vid överföring (TLS 1.2+) [ ] Pseudonymisering [ ] Tvåfaktorautentisering [ ] Loggning av åtkomst [ ] Säkerhetskopiering [ ] Annat: [_____]

   Organisatoriska: [ ] Behörighetshantering med principen om minst privilegium [ ] Sekretessåtaganden för anställda [ ] Regelbundna säkerhetsutbildningar [ ] Incidenthanteringsrutin [ ] Annat: [_____]

10. DPIA-STATUS [ ] DPIA krävs ej — motivering: [] [ ] DPIA krävs och är genomförd — datum: [] [ ] DPIA krävs men ej genomförd — deadline: [] Referens till DPIA-dokument: []

11. ÄGARE OCH GRANSKNING Behandlingsansvarig (avdelning): [] System: [] Lagringsplats: [_____] Senast granskad: [Datum] Nästa granskning: [Datum]

(Upprepa block per behandling) ```

Färdig svensk DPIA-checklista

Inte en fullständig DPIA-mall (IMY:s officiella mall är 60+ sidor) men en praktisk checklista för att starta processen.

``` DPIA-CHECKLISTA — STARTPUNKT

Behandling: [Benämning] Datum: [YYYY-MM-DD] Ansvarig: [Namn, roll]

STEG 1: KRÄVS DPIA? GDPR Art. 35.3 — ALLTID DPIA om någon av dessa gäller: [ ] Systematisk omfattande utvärdering / automatiserade beslut med betydande följder [ ] Storskalig behandling av Art. 9 (känsliga) eller Art. 10 (brottsuppgifter) [ ] Systematisk övervakning av offentlig plats i stor skala

IMY:s 9 kriterier — DPIA krävs om MINST 2 av dessa: [ ] 1. Utvärderar eller poängsätter människor [ ] 2. Automatiserade beslut med rättsliga följder [ ] 3. Systematisk övervakning [ ] 4. Känsliga eller höggradigt personliga uppgifter [ ] 5. Storskalig behandling [ ] 6. Matchning/kombination av datauppsättningar [ ] 7. Uppgifter om sårbara registrerade [ ] 8. Innovativ användning av ny teknik [ ] 9. Behandling som hindrar utövande av rättighet

BESLUT: [ ] DPIA krävs — gå vidare till Steg 2 [ ] DPIA krävs ej — dokumentera motivering: [_____]

STEG 2: PROJEKTSTART Scope: [] Tidplan: [] Deltagare: [Produktägare / IT-säkerhet / Juridik / DSO] DSO involverad: [Namn]

STEG 3: SYSTEMATISK BESKRIVNING (Art. 35.7.a)

• Behandlingens art (vad sker tekniskt?): [_____]
• Omfattning (volym, geografi, varaktighet): [_____]
• Sammanhang (relation till registrerade): [_____]
• Syften (vad ska uppnås?): [_____]

STEG 4: NÖDVÄNDIGHET OCH PROPORTIONALITET (Art. 35.7.b)

• Är all data nödvändig? Kan dataminimering tillämpas?: [_____]
• Finns mindre integritetskränkande alternativ?: [_____]
• Är lagringstider proportionella?: [_____]

STEG 5: RISKIDENTIFIERING (Art. 35.7.c) För varje identifierad risk:

• Risk-källa: [_____]
• Möjliga hot: [_____]
• Möjliga konsekvenser för registrerade: [_____]
• Sannolikhet (låg/medium/hög): [_____]
• Allvar (låg/medium/hög): [_____]
• Risknivå (sannolikhet × allvar): [_____]

STEG 6: RISKREDUCERANDE ÅTGÄRDER (Art. 35.7.d) För varje hög risk:

• Föreslagna tekniska åtgärder: [_____]
• Föreslagna organisatoriska åtgärder: [_____]
• Restrisk efter åtgärder: [_____]

STEG 7: SAMRÅD [ ] DSO rådfrågad: [Datum, sammanfattning] [ ] Registrerade/representanter rådfrågade (när lämpligt): [_____]

STEG 8: SAMMANTAGEN BEDÖMNING Kvarstår hög risk efter åtgärder? [ ] Nej — behandlingen kan påbörjas [ ] Ja — Art. 36 förhandssamråd med IMY krävs

STEG 9: GODKÄNNANDE Godkänt av: [Namn, roll] Datum: [YYYY-MM-DD]

STEG 10: ÖVERSYN Nästa granskning: [Datum] Trigger för uppdatering: [Ny teknik / ändrad behandling / regulatorisk förändring] ```

Vanliga misstag vid registerförteckning och DPIA

1. Förteckning saknas helt — vanligaste tillsynsanmärkningen
2. Endast IT-system listade istället för processer — missar manuella behandlingar
3. Bristande synk med PUB-avtal — leverantörer i förteckningen utan motsvarande avtal
4. "Allmänt" istället för konkret — säkerhetsåtgärder beskrivna som "lämpliga åtgärder" utan specifikation
5. Statisk förteckning — uppdateras inte när nya system införs
6. DPIA görs efter implementation — ska göras INNAN behandlingen påbörjas
7. DPIA utan involvering av DSO — Art. 35.2 kräver rådgivning från DSO när sådan finns
8. Glömmer kontorsmiljöns dolda behandlingar — Slack-kanaler, gemensamma drives, e-postarkiv

Relaterade artiklar

• Personuppgiftsbiträdesavtal: guide + mall — PUB-avtal är direkt synkroniserat med registerförteckningen
• Personuppgiftsincident: 72-timmars guide — Registerförteckningen används vid incidentbedömning för att fastställa omfattning
• 14 svenska lagar för webbplats-compliance 2026 — Komplett översikt över svensk dataskyddsreglering

---

Källor:

• Europaparlamentets och rådets förordning (EU) 2016/679 (GDPR), särskilt artiklarna 30 och 35
• IMY (Integritetsskyddsmyndigheten): Föra register över behandlingar
• IMY: Konsekvensbedömning enligt GDPR
• IMY: När ska en konsekvensbedömning genomföras?
• IMY:s mall för konsekvensbedömning (PDF, 513 kB) och praktiska 10-stegs-guide
• EDPB Guidelines on Data Protection Impact Assessment (DPIA)
• Sanktionsbeslut publicerade på imy.se (skolplattform 4 mkr, digital skolplattform 24 skolor 300 tkr, LSS-boende kameraövervakning 200 tkr)

Senast uppdaterad: 2026-05-17. Innehållet är allmän vägledning och utgör inte juridisk rådgivning för enskilda fall.