Det är måhända lätt att missa att man som hanterare av personuppgifter inte bara ska göra kloka avvägningar, man ska också föra register över sina register och andra behandlingar av personuppgifter.

Så här skriver Datainspektionen (länk):

"Både personuppgiftsansvariga och personuppgiftsbiträden är skyldiga att föra ett register eller en förteckning över behandlingar av personuppgifter. Dessa register ska upprättas skriftligen, vara tillgängliga i elektronisk format och hållas uppdaterade. På begäran ska registret göras tillgängligt för Datainspektionen."

Som tur är så har Styrelseproffset en funktion som gör det lättare att skapa överblick och struktur bland sina register. Så här kan det se ut när man registrerat ett par "Personuppgiftsregister" i systemet.

Figur

Figur: Exempel på lista över dataregister.

Allmänna attribut

När ett register skapas börjar du med att fylla i ett antal allmänna attribut. Du ger registret ett namn och skriver vem som är ansvarig för registret - ni själva eller ett ombud. Observera att många register kan fysiskt finnas hos ett ombud men det är alltjämt ni som är ansvariga. I en senare del kommer ni beskriva var personuppgifterna rent fysiskt finns.

Figur

Figur: Exempel på allmänna fält.

Rättslig grund

En nyckelfaktor i GDPR är bedömningen av på vilken rättslig grund som personuppgifter behandlas. Det finns i lagen sex stycken definierade sådana rättsliga grunder som du kan läsa mer om hos Datainspektionen.

Du kan bara välja en rättslig grund i taget. Om ett register har olika delar som i sin tur vilar på olika rättslig grund bör du registrera dem som separata register i detta system.

Observera att samtycke inte är den enda rättsliga grunden. Inte sällan kommer intresseavvägning vara den rättsliga grund man lutar sig mot. Datainspektionen anger som exempel hur direktmarknadsföring kan vila på en intresseavvägning och därmed sannolikt även medlemsinformation och dylikt.

Figur

Figur: Exempel på gränssnitt för val av rättslig grund.

Personuppgifter

Den tredje sektionen av information är vilka personuppgifter som behandlas. Ange först i textfältet typer av personuppgifter, exempelvis namn, e-post, personnummer, eller annan beskrivning av vad som behandlas.

Det finns också en särskild kryssruta för att indikera att personuppgifterna är känsliga. Känsliga personuppgifter kan röra personers medlemskap i fackföreningar, hälsouppgifter eller annat som beskrivet av Datainspektionen. Många föreningar har bostäder uthyrda till kommunal omsorg, här kan till exempel uppgifter om dessa innefatta känsliga personuppgifter.

Figur

Figur: Exempel på gränssnitt för beskrivning av personuppgifter.

Lagring

Den sista sektionen (innan möjligheten för en fritextkommentar) är lagringsdelen. Här anger ni ert syfte med att behandla och lagra dessa personuppgifter, på vilken plats och i vilken form de lagras samt vilka premisser som gäller för borttagning.

Om personuppgifterna hanteras av ett biträde är det här ni anger att de finns på databas hos biträdet.

Det är också klokt att i detta läge fundera på tidsperspektivet. Behövs uppgifterna för all framtid eller kan de automatiskt tas bort? För uppgifter lagrade i Styrelseproffset finns stora möjligheter för automatisk borttagning i inställningarna för datapolicy.

Figur

Figur: Exempel på gränssnitt för lagring av personuppgifter.

Export

Som vi inledningsvis berörde i detta kapitel av dokumentationen har personuppgiftsansvariga (och biträden) skyldighet att dokumentera register för behandling och att kunna visa upp denna dokumentation vid anmodan från tillsynsmyndighet (Datainspektionen).

Det enklaste sättet att göra det är att exportera personuppgiftsregistren. Det görs i "Exportcentralen" som hittas i föreningens inställningar.

Figur

Figur: Exempel på export av personuppgiftsregister.

Hittade du svaret?