Er en artikel 30 fortegnelse påkrævet?

Ja, som dataansvarlig virksomhed skal du til enhver tid og på anmodning kunne fremvise en artikel 30.1 fortegnelse. Fungerer du også som databehandler, skal du ligeledes kunne fremvise en artikel 30.2 fortegnelse på anmodning fra Datatilsynet.

Er en artikel 30 fortegnelse det samme som data mapping?

Din data mapping danner grundlag for din artikel 30 fortegnelse. Du skal registrere dine behandlingsaktiviteter, og med data mapping dokumenterer du netop disse aktiviteter. De to begreber er tæt knyttet, men artikel 30 fortegnelsen er den formelle dokumentation, som GDPR kræver.

Hvem skal føre en artikel 30 fortegnelse?

Alle dataansvarlige og databehandlere med 250 eller flere medarbejdere skal føre en fortegnelse. Mindre virksomheder skal også føre en fortegnelse, hvis behandlingen ikke er lejlighedsvis, omfatter særlige kategorier af personoplysninger eller indebærer en risiko for de registreredes rettigheder. I praksis betyder det, at langt de fleste virksomheder skal have en.

Hvad skal en artikel 30 fortegnelse indeholde?

En artikel 30.1 fortegnelse for dataansvarlige skal indeholde navn og kontaktoplysninger på den dataansvarlige, formålene med behandlingen, kategorier af registrerede og personoplysninger, modtagere af oplysningerne, overførsler til tredjelande, slettefrister samt en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

Hvad er forskellen på artikel 30.1 og artikel 30.2 fortegnelse?

Artikel 30.1 dækker dataansvarlige og kræver dokumentation af alle behandlingsaktiviteter, du udfører til egne formål. Artikel 30.2 dækker databehandlere og kræver dokumentation af behandlinger, du udfører på vegne af kunder. Hvis du både er dataansvarlig og databehandler, skal du føre begge fortegnelser.

Kan jeg bruge Excel til min artikel 30 fortegnelse?

Ja, Excel kan bruges som udgangspunkt og er acceptabelt for små virksomheder med få behandlingsaktiviteter. Når antallet af aktiviteter vokser, bliver Excel hurtigt uoverskueligt. Versionsstyring bliver rodet, og det bliver tidskrævende at koble aktiviteter til risici, leverandører og sikkerhedsforanstaltninger. De fleste virksomheder skifter til dedikeret compliance software, når fortegnelsen vokser.

Hvad er konsekvenserne, hvis jeg ikke har en artikel 30 fortegnelse?

Manglende fortegnelse er et brud på GDPR artikel 30 og kan medføre administrative bøder på op til 10 millioner euro eller 2 % af den årlige globale omsætning, alt efter hvad der er højest. Manglende dokumentation signalerer ofte også bredere compliance-huller og kan udløse en dybere undersøgelse fra Datatilsynet.

Hvordan kommer jeg i gang med en artikel 30 fortegnelse?

Begynd med at kortlægge alle systemer og processer, der involverer personoplysninger. Knyt hver behandlingsaktivitet til et formål og et hjemmelsgrundlag, og dokumentér derefter datakategorier, registrerede, modtagere, slettefrister og sikkerhedsforanstaltninger. Brug en standardskabelon eller compliance software for at holde formatet ensartet på tværs af afdelinger.

Skal databehandlere føre deres egen artikel 30 fortegnelse?

Ja. Databehandlere skal føre deres egen artikel 30.2 fortegnelse, der dækker alle behandlinger udført på vegne af de dataansvarlige, de samarbejder med. Den skal indeholde kategorierne af behandlinger, de involverede dataansvarlige, eventuelle overførsler til tredjelande og en beskrivelse af sikkerhedsforanstaltningerne.

GDPR › GDPR dokumentation og compliance

Sådan laver du en artikel 30-fortegnelse (med gratis skabelon)

Q: Hvor ofte skal jeg opdatere min artikel 30 fortegnelse?

Din artikel 30 fortegnelse skal opdateres løbende, når der sker ændringer i dine behandlingsaktiviteter, fx ved nye systemer, leverandører eller formål. Som minimum bør du gennemgå fortegnelsen hver 6. måned.

En artikel 30-fortegnelse er en lovpligtig fortegnelse over behandlingsaktiviteter, som alle dataansvarlige og databehandlere skal kunne fremvise på anmodning fra Datatilsynet. I denne guide får du kravene fra GDPR artikel 30, konkrete eksempler på indhold, en gratis Excel-skabelon og de faldgruber, vi ser oftest i praksis.

Download Excel skabelon

Illustration af en åben artikel 30 fortegnelse vist som en struktureret tabel i en ringbind, med overskriften

Introduktion

Har du stødt på begrebet artikel 30 fortegnelse før? Måske ved du allerede, at det relaterer sig til GDPR, men er du usikker på de specifikke detaljer, såsom hvad det præcist indebærer, hvordan du opretter en sådan artikel 30 fortegnelse, og hvordan den kan være til nytte for dig? En artikel 30 fortegnelse er et lovpligtigt dokument, som alle virksomheder skal have for at overholde GDPR. Denne artikel er designet til at guide dig igennem disse spørgsmål.

Hvad betyder Artikel 30 fortegnelse?

Din Artikel 30 fortegnelse er en rapport, der giver et overblik over, hvordan persondata behandles i din virksomhed. På engelsk er betegnelsen for artikel 30 fortegnelse "Record of Processing Activities", hvilket direkte oversættes til "fortegnelse over behandlingsaktiviteter".

En behandlingsaktivitet refererer til en detaljeret beskrivelse af, hvordan persondata behandles i virksomheden. Et eksempel kunne være din lønudbetalingsproces, hvor du dokumenterer, hvem der behandles data på, med hvilket formål og hvilke persondata der bliver behandlet. Du noterer også, hvilke andre parter persondata deles med, såsom en databehandler, der i dette tilfælde kunne være leverandøren af dit lønsystem eller en ekstern bogholder.

Artikel 30 i GDPR forordningen beskriver, hvilke oplysninger fra dine behandlingsaktiviteter du skal inkludere i en artikel 30 fortegnelse. Det er herfra, betegnelsen "Artikel 30 fortegnelse" stammer. Fortegnelsen bliver således en rapport, der tilbyder et overblik over alle processerne, hvor persondata behandles, inklusive de relevante oplysninger, som Artikel 30 foreskriver skal være med.

Læs også: GDPR compliance tjekliste | Del 1 - Sådan bliver du GDPR compliant.

Du bør sikre, at din artikel 30 fortegnelse inkluderer følgende punkter:

Navn og kontaktoplysninger på den dataansvarlige, dvs. din virksomhed, som er ansvarlig for behandlingen af personoplysningerne.
Formålene med dine data behandlinger.
En beskrivelse af, hvem der behandles data på (kategorier af registrerede) og hvilke persondata der behandles på disse personer (persondatakategorier).
Modtagere, som persondata sendes til, dette kan være databehandlere eller andre dataansvarlige.
Geografisk placering af modtagerne, dvs. om overførslen sker til andre EU-lande, sikre tredjelande, eller usikre tredjelande.
Slettefrister for, hvor lang tid du opbevarer persondata på den registrerede.
Tekniske og organisatoriske sikkerhedsforanstaltninger.

Din artikel 30 fortegnelse skal indeholde disse oplysninger. Der er ikke et specifikt krav til formatet, men det er vigtigt, at fortegnelsen er overskuelig og let at forstå. Det kunne for eksempel være organiseret i en tabel, hvor de relevante oplysninger er anført i hver deres kolonne, og dine behandlingsaktiviteter er listet i rækker.

Hvordan opretter du en artikel 30 fortegnelse?

At oprette en artikel 30 fortegnelse kræver systematisk tilgang. Start med at identificere alle dine behandlingsaktiviteter, og brug derefter en skabelon eller platform til at dokumentere hver aktivitet struktureret.

Den mest effektive måde at oprette din artikel 30 fortegnelse er ved først at kortlægge alle processer, hvor din virksomhed behandler persondata. Med .legal's data mapping software kan du systematisk dokumentere hver behandlingsaktivitet og automatisk generere din artikel 30 fortegnelse. Platformen sikrer, at du får alle påkrævede oplysninger med og overholder GDPR's krav til format og indhold.

Hvad er en artikel 30 fortegnelse brugt til?

En artikel 30 fortegnelses overordnede formål er at tilbyde et overblik. Det bør være nemt og hurtigt at læse en fortegnelse og skabe sig et overblik over, hvordan persondata behandles, og om der findes mangler. Din artikel 30 fortegnelse bliver derfor grundlaget for meget af dit videre GDPR-arbejde.

Dit GDPR-arbejde kan ikke reduceres til kun at omfatte en artikel 30 fortegnelse, men den udgør en væsentlig del af din dokumentation. Det er for eksempel fra fortegnelsen, du kan dykke dybere ned i dokumentationen. Derfra er det fordelagtigt at vurdere, hvad dit retsgrundlag for behandling er, og om du har indgået databehandleraftaler med alle relevante databehandlere osv.

Ved at have en solid artikel 30 fortegnelse gør du dit videre GDPR-arbejde meget lettere for dig selv. Fortegnelsen er din base, som du kan bygge videre på. Den bruges også i udarbejdelsen af din privatlivspolitik og risikovurderinger, som er centrale elementer i en effektiv GDPR-complianceproces.

Informationer fra din artikel 30 fortegnelse indgår i både din privatlivspolitik og dine risikovurderinger af den registrerede. På den måde bliver arbejdet i denne forbindelse lettere, da du kan hente mange af oplysningerne direkte fra dine dokumenterede behandlingsaktiviteter.

Artikel 30 fortegnelsen er også et lovpligtigt dokument, som du skal kunne præsentere ved for eksempel et inspektionsbesøg fra Datatilsynet. Derfor skal du også kunne eksportere og udlevere den i et format, der er læsbart og forståeligt for tredjeparter (artikel 30, stk. 4).

Hvem skal bruge en artikel 30 fortegnelse?

Der findes to scenarier, hvor en artikel 30 fortegnelse er nødvendig. Det første gælder for alle virksomheder, mens det andet specifikt vedrører virksomheder, der fungerer som databehandlere for andre dataansvarlige virksomheder. I de tidligere afsnit beskrev jeg en artikel 30.1 fortegnelse, der omhandler den dataansvarlige. Hvis du også fungerer som databehandler, er det vigtigt, at du ligeledes fokuserer på artikel 30.2 fortegnelsen for databehandlere.

Som Dataansvarlig

Hvis du er en virksomhed, der behandler persondata om medarbejdere og/eller kunder, er du påkrævet at have en artikel 30.1 fortegnelse. Alle virksomheder skal oprette denne fortegnelse, og da næsten alle virksomheder hører under denne kategori, vil du sandsynligvis også skulle gøre det.

Et eksempel kunne være, at du opbevarer oplysninger om dine medarbejdere, for eksempel gennem ansættelseskontrakter. Disse kontrakter indeholder persondata, da de blandt andet inkluderer medarbejderens navn. Denne proces skal derfor inkluderes i din artikel 30 fortegnelse. Når det kommer til fortegnelser, skelnes der ikke mellem, om du som dataansvarlig behandler generelle personoplysninger (som kontaktinformation) eller følsomme personoplysninger (som helbredsoplysninger); begge dele skal registreres i din fortegnelse.

Som en dataansvarlig virksomhed skal du altså altid oprette en artikel 30.1 fortegnelse.

Som Databehandler

En artikel 30.2 fortegnelse skal kun udarbejdes af virksomheder, der agerer som databehandlere. For eksempel, hvis du er en IT-leverandør, der tilbyder IT-systemer til dine kunder, behandler du persondata på deres vegne. Her har du indgået databehandleraftaler med dem. I sådanne tilfælde skal du oprette en artikel 30.2 fortegnelse. Artikel 30.2 fortegnelsen skal være adskilt fra din artikel 30.1 fortegnelse. Denne fortegnelse skal indeholde oplysninger om:

Navn og kontaktoplysninger på databehandleren (dig).
De kategorier af persondata, du behandler på vegne af den dataansvarlige (kunden).
Hvorvidt disse data overføres til et tredjeland, for eksempel USA.
En beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

Du skal kunne udarbejde en artikel 30.2 fortegnelse for hver eneste kunde, du behandler data for. Derfor er det vigtigt, at du sikrer en klar inddeling af fortegnelsen mellem dine kunder. med tydelig angivelse af, hvilke behandlingsaktiviteter du udfører på vegne af hver enkelt kunde.

Artikel 30 fortegnelse og GDPR compliance

Som nævnt tidligere udgør din artikel 30 fortegnelse en væsentlig del af dit arbejde med GDPR compliance. Du kan ikke opnå GDPR compliance uden at have din artikel 30 fortegnelse på plads. Desuden er det vigtigt, at din fortegnelse løbende opdateres i forbindelse med:

Ændringer i din virksomhed og dine processer: Indfører I en ny proces, der involverer behandling af persondata? Denne proces skal registreres i din artikel 30 fortegnelse. Hvis der sker ændringer i eksisterende processer, skal de berørte behandlingsaktiviteter naturligvis også opdateres, så de afspejler virkeligheden. Derfor skal fortegnelsen regelmæssigt valideres og opdateres, baseret på ændringer i din virksomhed.
Lovmæssige ændringer: Hvis der sker ændringer i GDPR-lovgivningen, der påvirker din artikel 30 fortegnelse, skal du implementere disse ændringer i dine behandlingsrutiner og derefter opdatere din fortegnelse, så den afspejler disse ændringer. Det kunne være, at en slettefrist, du har angivet, ikke længere anses for at være tilstrækkelig. I så fald skal du ændre dine procedurer og derefter opdatere fortegnelsen, så den afspejler de nye forhold.

At være GDPR compliant betyder ikke "bare" at have en artikel 30 fortegnelse. Det er essentielt, at det, du dokumenterer i din fortegnelse, også bliver efterlevet i praksis. Hvis du lister en række sikkerhedsforanstaltninger, skal du sikre dig, at disse foranstaltninger rent faktisk er implementeret i virksomheden. Ellers er fortegnelsen kun et stykke papir. Du opnår først fuld compliance, når du både dokumenterer og implementerer det dokumenterede i din virksomhed.

Hvad er fordelene ved en artikel 30 fortegnelse?

Der er mange fordele ved at have en artikel 30 fortegnelse. Den kan for eksempel udgøre grundlaget for dit videre GDPR arbejde, som tidligere nævnt. En anden fordel er, at en veludarbejdet artikel 30 fortegnelse tjener som et klart bevis på, at du har styr på dine data.

En opdateret artikel 30 fortegnelse, der indeholder alle nødvendige oplysninger og som kan fremlægges hurtigt, viser tydeligt, at du er compliant. Omvendt, hvis det tager lang tid at samle fortegnelsen, kan det vække mistanke om, at der også er andre områder i virksomheden, der mangler kontrol.

Du kan for eksempel blive bedt om at vise din artikel 30 fortegnelse under et tilsynsbesøg. I sådanne tilfælde er det en åbenlys fordel, hvis du hurtigt kan demonstrere, at du har den nødvendige dokumentation på plads. Det er ikke usandsynligt, at fortegnelsen vil være det første, tilsynet ønsker at se.

En opdateret og velorganiseret artikel 30 fortegnelse kan også være af interesse for andre tredjeparter, såsom i forbindelse med revisionserklæringer eller et virksomhedssalg. Her vil en potentiel interesse i at se bevis for dit GDPR-arbejde være til stede, og en velholdt fortegnelse vil klart indikere, at du har orden i sagerne.

Hvad er “best practices” for at lave og vedligeholde en artikel 30 fortegnelse?

Ifølge artikel 30, stk. 3, er det et krav, at du som dataansvarlig skal kunne fremvise din artikel 30.1 og artikel 30.2 fortegnelse i elektronisk format. Derfor er det første punkt på listen over ”best practices” naturligvis, at du opbevarer din artikel 30 fortegnelse elektronisk.

Dette kan være i et Excel-ark, et Word-dokument eller på en platform designet specifikt til at dokumentere og opretholde fortegnelser.

Læs også: Hvad er forskellen på at lave GDPR dokumentation i Excel og i GDPR software?

Næste skridt er at gøre den både overskuelig og ”personlig”. Udarbejd en artikel 30 fortegnelse, der afspejler din virksomhed og de processer, det giver mening at beskrive for netop din virksomhed. Dette vil sandsynligvis også resultere i den mest tilgængelige fortegnelse. På denne måde kan du også kommunikere mere klart med kolleger, idet fokus i højere grad vil være på arbejdsprocesserne end på GDPR i sig selv.

Det er vigtigt løbende at opdatere din artikel 30 fortegnelse. Det ville være uheldigt at bruge meget tid på at udarbejde din artikel 30 fortegnelse, for derefter bare at gemme Excel-arket i en mappe på computeren og glemme alt om det. Hvis fortegnelsen ikke opdateres over tid, vil den sandsynligvis ikke længere afspejle virkeligheden. Sørg for at etablere en proces, hvor du med jævne mellemrum gennemgår din dokumentation for behandlingsaktiviteter for at vurdere, om der er behov for opdateringer.

Læs også: Brug det gratis Compliance årshjul til at give dig besked, når du skal gennemgå dokumentation

Gør udarbejdelsen af fortegnelsen til et teamarbejde. Det er essentielt at have en person, der er ansvarlig for fortegnelsen, men det er en fordel, hvis flere kolleger bidrager med oplysninger om de behandlingsaktiviteter, de er involveret i. For eksempel er det ofte marketingafdelingens medarbejdere, der bedst ved, hvilke persondata de håndterer, når de sender nyhedsbreve ud. Faciliter derfor dialogen om behandlingsaktiviteter, interview medarbejdere, eller brug en samarbejdsplatform, hvor kolleger løbende kan opdatere de behandlinger, de er ansvarlige for.

Med .legals compliance-platform, Privacy, har vi effektiviseret denne proces. Her tilbyder vi blandt andet muligheden for, at du kan dokumentere dine behandlingsaktiviteter, delegere opgaver til kolleger, sætte valideringsprocesser og påmindelser op, og aktivt bruge artikel 30 fortegnelsen i forbindelse med for eksempel dine risikovurderinger.

Og mest afgørende, at du med få klik kan trække din fortegnelse og eksportere den i et format, der kan fremvises til for eksempel et tilsyn.

Ofte stillede spørgsmål om Artikel 30 fortegnelse

Hvad er en artikel 30 fortegnelse?

En artikel 30 fortegnelse er en lovpligtig rapport, der dokumenterer, hvordan persondata behandles i din virksomhed. Fortegnelsen kræves under GDPR artikel 30 og giver et overblik over alle processer, der involverer behandling af persondata, herunder formål, datakategorier, modtagere og sikkerhedsforanstaltninger.

Hvem skal have en artikel 30 fortegnelse?

Alle virksomheder, der behandler persondata som dataansvarlige, skal have en artikel 30 fortegnelse under artikel 30.1. Fungerer du også som databehandler for andre organisationer, skal du have separate fortegnelser under artikel 30.2. Da næsten alle virksomheder behandler medarbejder- eller kundedata, kræver de fleste organisationer en artikel 30 fortegnelse.

Hvilke oplysninger skal være i artikel 30 fortegnelsen?

Din artikel 30 fortegnelse skal indeholde: den dataansvarliges kontaktoplysninger, behandlingsformål, kategorier af registrerede og persondata, datamodtagere, geografiske placeringer af overførsler, opbevaringsperioder og tekniske og organisatoriske sikkerhedsforanstaltninger.

Læs mere om GDPR compliance krav

Hvor ofte skal jeg opdatere min artikel 30 fortegnelse?

Artikel 30 fortegnelsen skal opdateres, når der sker ændringer i dine databehandlingsaktiviteter. Vi anbefaler at gennemgå fortegnelsen mindst hver 6. måned for at sikre nøjagtighed og compliance. Regelmæssige opdateringer sikrer, at din dokumentation afspejler nuværende forretningsprocesser og lovkrav.

Hvad er forskellen mellem artikel 30 fortegnelse og data mapping?

Data mapping danner grundlaget for din artikel 30 fortegnelse. Mens data mapping dokumenterer alle dine behandlingsaktiviteter i detaljer, er artikel 30 fortegnelsen et specifikt rapportformat, der præsenterer disse oplysninger i henhold til GDPR artikel 30 krav.

Læs mere om GDPR data mapping

Kan jeg bruge Excel til artikel 30 fortegnelse?

Ja, du kan bruge Excel til at oprette artikel 30 fortegnelse, selvom GDPR kræver elektronisk format. Mens Excel er acceptabelt, tilbyder dedikerede compliance-platforme fordele som automatiske opdateringer, samarbejdsfunktioner og indbyggede GDPR compliance skabeloner.

Læs om forskellen mellem GDPR i Excel og en platform

Hvad sker der, hvis jeg ikke har en artikel 30 fortegnelse?

Manglende vedligeholdelse af korrekt artikel 30 fortegnelse kan resultere i betydelige GDPR bøder og regulatoriske handlinger. Datatilsynet kan anmode om din fortegnelse under inspektioner, og manglende evne til at fremvise compliant dokumentation viser dårlig datastyring og potentiel non-compliance.

Hvordan understøtter artikel 30 fortegnelse andre GDPR krav?

Artikel 30 fortegnelsen fungerer som grundlag for forskellige GDPR compliance-aktiviteter, herunder oprettelse af privatlivspolitik, konsekvensanalyser og risikovurderinger. Oplysningerne dokumenteret i din fortegnelse understøtter direkte disse essentielle compliance-processer.

Læs om GDPR risikovurderinger

Skal artikel 30 fortegnelsen være tilgængelig for Datatilsynet?

Ja, artikel 30 fortegnelsen skal kunne fremvises til Datatilsynet på anmodning i elektronisk format. Det er ofte det første dokument, tilsynsmyndigheder ønsker at se under inspektioner, så det er afgørende at have en opdateret og letforståelig fortegnelse klar.

Læs om compliance årshjul

Har du fortsat spørgsmål?

Spørg Johannes direkte, han giver de fleste af vores demoer personligt

Book ham her

.legal compliance platform Byg og vedligehold din ROPA ubesværet

Brug .legal til at oprette en omfattende fortegnelse over behandlingsaktiviteter med indbyggede skabeloner, automatiserede opdateringer og fuld compliancerapportering.