Börja med att inventera vilken typ av personuppgifter ni behandlar. Det är bra om alla som hanterar personuppgifter bidrar med vilka personuppgifter som de hanterar, hur de hanterar dem, varför de hanterar dem och vem som har tillgång till de personuppgifterna. Förslagsvis kan ni göra den i mallen som medföljer detta metodstöd. Det är viktigt att alla skriver varje behandling av personuppgifter.
Högsta ledningen utser ansvarig för att styra processen med inventering och upprättande av registret. Rapportering ska ske till den högsta ledningen (VD/Ordförande) som ansvarar för att personuppgiftsbehandlingen är nödvändig, korrekt och säker.
Vanliga behandlingar hos företag och organisationer är e-post, anställningsavtal, uppsägningshandlingar, löner, sjukfrånvaro, föräldraledighet, styrelseprotokoll, fakturor, räkningar, kvitton och verifikationer. Kan även vara bilregistrering, kund/medlemsregister, fingeravtrycksavkänning, irisavkänning, resebeställningar och kontaktuppgifter.
Kommer ni på något ytterligare eller startar ny behandling av personuppgifter eller registrerar ny typ av personuppgifter ska det direkt skrivas in i registret. I riktlinjerna för personuppgiftsbehandling bör ni ange vem som ansvarar för att registret är aktuellt och korrekt samt vem som har behörighet att ändra i registret.
När ni har gjort inventeringen av vad för slags personuppgiftsbehandlingar ni har, ska ni upprätta själva registret. Vad registret ska innehålla kommer i nästa avsnitt.