Hoppa till innehåll
GDPR

GDPR i praktiken —behandlingsregister och dataskydd

GDPR (General Data Protection Regulation) gäller alla organisationer som behandlar personuppgifter om EU-medborgare. Artikel 30 kräver ett fullständigt behandlingsregister — och IMY kan begära att se det vid tillsyn.

Bygg ditt behandlingsregister

Dina skyldigheter enligt GDPR

De viktigaste artiklarna för ett SME-företag som behandlar personuppgifter:

Art. 5

Principerna för behandling

Laglighet, korrekthet, transparens, ändamålsbegränsning, uppgiftsminimering, riktighet, lagringsminimering, integritet och konfidentialitet.

Art. 13–14

Informationsskyldighet

Informera registrerade om vilka uppgifter som samlas in, varför, hur länge och av vem — vid insamling och på begäran.

Art. 17

Rätten att bli raderad

Radera personuppgifter på begäran när ändamålet för behandlingen upphört eller samtycket dragits tillbaka.

Art. 25

Inbyggd och standardmässig dataskydd

Privacy by design och privacy by default — dataskydd ska beaktas från design, inte efterhand.

Art. 30

Register över behandlingsaktiviteter

Dokumentera alla behandlingar med syfte, kategorier, lagringstider, mottagare och säkerhetsåtgärder.

Art. 32

Lämpliga säkerhetsåtgärder

Tekniska och organisatoriska åtgärder för att skydda personuppgifter — kryptering, pseudonymisering och åtkomstkontroll.

Art. 33

Anmälan om dataintrång

Rapportera personuppgiftsincidenter till IMY inom 72 timmar. Allvarliga incidenter ska även meddelas de drabbade.

Art. 35

Konsekvensbedömning (DPIA)

Genomför en DPIA vid hög risk — t.ex. storskalig behandling av känsliga uppgifter eller systematisk övervakning.

Artikel 30 — Register över behandlingsaktiviteter

Artikel 30 kräver att personuppgiftsansvariga för varje behandlingsaktivitet dokumenterar: ändamål, kategorier av registrerade och uppgifter, eventuella mottagare, överföringar till tredjeland, lagringstider och säkerhetsåtgärder.

Vad itsäkerhet.com ger dig för Art. 30:

  • Strukturerat register med ett formulär per behandlingsaktivitet
  • Förifyllda mallar för vanliga SME-behandlingar (HR, kundregister, leverantörer)
  • DPIA-flaggning när en behandling bedöms som högrisk
  • Spårning av rättighetsförfrågningar (radering, tillgång, portabilitet)
  • Exportera registret som PDF för tillsynsmyndighetens granskning

GDPR och informationssäkerhet — kopplingen till ISO 27001 och NIS2

Art. 32 kräver tekniska åtgärder

GDPR kräver lämpliga säkerhetsåtgärder — ISO 27001:2022 ger ett systematiskt ramverk för att uppfylla detta.

72-timmarsregeln

Precis som NIS2 kräver GDPR Art. 33 rapportering av personuppgiftsincidenter till IMY inom 72 timmar.

DPIA och riskanalys

En GDPR DPIA (Art. 35) är en riskanalys för personuppgiftsbehandling — direkt kopplad till din IT-riskhantering.

Relaterade guider

Bygg ett fullständigt GDPR-register

Dokumentera dina behandlingsaktiviteter, hantera rättighetsförfrågningar och flagga DPIA-behov. 14 dagars provperiod, inget kreditkort krävs.

Starta gratis