13 sep 2018

Persondatafortegnelse, hvad er formålet?

Persondatafortegnelse: Som en helt almindelig, dansk iværksættervirksomhed eller mindre ejerledet virksomhed, så har I nok i forbindelse med vedtagelsen af databeskyttelsesforordningen hørt, at jeres virksomhed skal udarbejde en fortegnelse. I denne artikel ønsker vi at give et hurtigt og indledende overblik og belyse, hvad en sådan fortegnelse omhandler, hvorfor det er værd at bruge ressourcer på at udarbejde én, og hvordan den udarbejdes.

Hvorfor skal man lave en persondatafortegnelse?

En fortegnelse over jeres behandlingsaktiviteter (også kaldet en artikel 30-fortegnelse), skal betragtes som en øvelse, som I laver for bedre at have overblik og kontrol over jeres persondata, herunder behandlingsaktiviteter. Men det er også en god ide at lave fortegnelsen for bedre at kunne minimere jeres brug af persondata til det nødvendige. Indsamling af unødvendige data er spild af ressourcer og tid, og vi oplever, at mange virksomheder får mere kontrol over deres procedurer og dataindsamling, når de har lavet en fortegnelse over deres persondata. Det kan derfor i næsten altid betale sig at allokere ressourcerne til udarbejdelsen af fortegnelsen.

I forbindelse med revision vil fortegnelsen også være et vigtigt redskab for revisoren, som lettere kan danne sig et overblik over jeres behandlingsaktiviteter, som fortegnelsen netop kortlægger. Og I forbindelse med udarbejdelse af en revisorerklæring (fx ISAE 3000) om overholdelse af databeskyttelsesloven (GDPR), vil vi altid tage udgangspunkt i jeres fortegnelse, når vi skal sikre, at I behandler persondata korrekt.

En dataansvarlig eller databehandler har også pligt til at stille fortegnelsen til rådighed for Datatilsynet, hvis denne skulle anmode om det.

Hvornår skal man lave en persondatafortegnelse?

Fortegnelsen er, som nævnt foroven, omtalt i artikel 30 i forordningen, og hører dermed til under jeres generelle forpligtelser.

Virksomheder som beskæftiger under 250 personer skal som udgangspunkt ikke lave en fortegnelse, jf. artikel 30, stk. 5. Undtagelsen til dette skal dog findes i anden del af artikel 30, stk. 5, hvor et foretagende eller en organisation stadig skal lave en fortegnelse, hvis blot én af følgende betingelser er opfyldt:

  • Den behandling, som den dataansvarlige/databehandleren foretager, vil sandsynliggøre en risiko for registreredes rettigheder og frihedsrettigheder
  • Behandlingen ikke er lejlighedsvis
  • Behandlingen omfatter særlige kategorier af oplysninger, jf. artikel 9, stk. 1, eller personoplysninger vedrørende straffedomme og lovovertrædelser, jf. artikel 10.

Det vil derfor kun være meget små virksomheder, med næsten ingen persondata, som vil være undtaget fra at lave en fortegnelse.

Offentlige myndigheder er ikke undtaget, da de ikke er et ”foretagende” eller en ”organisation” i databeskyttelsesforordningens forstand.

Hvad skal en persondatafortegnelse indeholde?

Kravene til indholdet af fortegnelsen er forskellige for dataansvarlige og databehandlere. Det skal bemærkes, at det er de færreste virksomheder, som kun er den ene af de to.

Kravene til indholdet af fortegnelsen for dataansvarlige er følgende:

a. Navn og kontaktoplysninger på virksomheden (eller dennes repræsentant)
b. Formål med behandlingen
c. Kategorier af registrerede og kategorier af personoplysninger
d. Kategorier af modtagere ved videregivelse
e. Hvor det er relevant, overførsel til tredjelande og internationale organisationer
f. Hvis muligt, slettefrister
g. Hvis muligt, tekniske og organisatoriske foranstaltninger

Når det kommer til databehandlere, så skal de overholde a), e), og g), og desuden skal der udarbejdes beskrivelse af kategorier af behandlinger af persondata, som databehandleren udfører for den enkelte dataansvarlige, samt en liste over dataansvarlige/databehandlere.

Ovenstående krav skal efterleves for hver enkelt behandlingsaktivitet (eksempelvis lønudbetaling, ansættelse, osv.), som jeres virksomhed foretager. Hvis I skulle ønske det, kan I sagtens inkludere flere oplysninger i fortegnelsen ud over de påkrævede.

Med hensyn til selve formatet af fortegnelsen, så er kravene her ret basale – fortegnelsen skal forefindes skriftligt, herunder elektronisk.

Datatilsynets vejledning til fortegnelser

Datatilsynet har udarbejdet en mere detaljeret vejledning til fortegnelser, med et eksempel på en fortegnelse, som kan findes her.

Rådgivning

Har din virksomhed brug for rådgivning, er I velkomne til at kontakte os på 33 11 81 00 eller .

 

Fortegnelse