Fortegnelse over behandlingsaktiviteter

Af Sascha Hegner Specht

Forordningen sætter krav til dataansvarlige om at udarbejde en fortegnelse over behandlingsaktiviteter (jf artikel 30).
Fortegnelsen skal omfatte al behandlingsaktivitet – altså alle de aktiviteter jeres virksomhed har, når de behandler alle former for personoplysninger.

Som minimum skal fortegnelsen indeholde:

  1. Navn og kontaktoplysninger på den dataansvarlige. (Hvem har ansvaret for de registrerede data?). Helt konkret: Hvem er I og hvem er virksomhedens kontaktperson (evt. DPO, hvis der er udpeget en sådan).  
  2. Formål med behandlingen (Hvorfor behandler I oplysningerne?). Indsamlingen af oplysninger skal være saglig og nødvendig for at opfylde virksomhedens formål. Det er f.eks. ikke lovligt at indsamle oplysninger om f.eks. køn med henblik på eventuelt senere at lave en statistik over kønsfordeling af jeres nyhedsbrevsmodtagere… Et sagligt formål kan f.eks. være personaleadministration eller medlemshåndtering.
  3. Kategorier af oplysninger (Hvilken type af oplysninger registrerer I?). Se de forskellige kategorier er oplysninger her.
  4. Kategorier af modtager (hvem behandler oplysningerne?). Det kan være offentlige myndigheder, f.eks. SKAT.
  5. Tredjelandsoverførsel (overfører I oplysningerne til tredje land?). Dette kræver typisk at I har overblik over hvilke værktøjer (software) I brugere i virksomheden, altså hvilke databehandlere I har. Læs mere om databehandlere her. Office 365 er f.eks. et tredjelandsoverførsel, da Microsoft har ”hjemme” i USA (Det betyder dog ikke at du ikke må bruge det! Læs mere om brug af Office 365 her).
  6. Sikkerhedsforanstaltninger (Hvilke sikkerhedsforanstaltninger har I gjort jer?). De sikkerhedsforanstaltninger I skal etablere, skal passe til de risici der er for de registrerede. Det skal I som virksomhed altså lave en vurdering af. En sikkerhedsforanstaltning kan f.eks. være kryptering af data, begrænse adgangen til oplysningerne, at fysiske dokumenter opbevares aflåst, henvisning til en sikkerhedshåndbog eller indgåelse af fortrolighedsaftaler med ansatte. 
  7. Procedure for sletning (Hvornår slettes oplysningerne?). Som udgangspunkt skal sletning ske så snart der ikke længere er behov for at opbevare data. Det vil sige at så snart en bruger afmelder nyhedsbrevet, bør I slette oplysningerne på den registrerede. I kan også vælge at anonymisere oplysningerne, hvis I fortsat har brug for at have data opbevaret.
  8. Der kan i enkelte tilfælde overføres data til arkiv, herunder til historiske eller statistiske formål (jf. artikel 89) også i dette tilfælde bør det begrundes hvis oplysninger ikke anonymiseres.

Form på fortegnelsen

Der er ikke krav til formen på en fortegnelse, men der er krav om at den skal være skriftlig og elektronisk.

En fortegnelse kan derfor se meget forskellig ud. Og der kan hentes masser af skabeloner på nettet til hvordan sådan en fortegnelse kan være udformet. Det anbefales at I finde en form der gør den brugbar for jer i den daglige praksis.

Undtagelsen – og så alligevel ikke

Der er dog enkelte tilfælde hvor en fortegnelse kan undtages:
Hvis virksomheden eller organisationen beskæftiger under 250 personer kan der være mulighed for at undtages fra fortegnelseskravet. Dog kan undtagelsen kun finde sted hvis der er tale om at følgende forhold også er opfyldt:

  • Behandlingen sandsynligvis vil IKKE kunne medføre en risiko for den registrerede.
  • Behandlingen er KUN lejlighedsvis.
  • Behandlingen omfatter IKKE oplysninger nævnt i artikel 9 og 10 (særlige følsomme eller strafbare forhold) i forordningen.
Kilde: Datatilsynets vejledning til om du er undtaget kravet om fortegnelse.

Det kan primært gælde for holdingselskaber eller enkeltmandsvirksomheder der ikke behandler højrisiko-oplysninger og ikke har regelmæssig behandling (f.eks. udbetaling af løn). Det er altså i LANGT de fleste tilfælde krav om en fortegnelse.

Bemærk dog at man uanset er forpligtet til at opfylde krav i artikel 24; Den dataansvarliges ansvar, herunder at man kender og vurderer sine datastrømme. Altså: lav en behandlingsfortegnelse.

Brug arbejdet med fortegnelsen

Det er vores anbefaling at bruge arbejdet med fortegnelsen, som en anledning til at kigge nærmere på jeres arbejdsgange og vurdere om der kan være mere hensigtsmæssige arbejdsgange der kan styrke sikkerheden for de registreredes oplysninger.

Kilder og links