Menu

Hvad er det? Artikel 30 Fortegnelse | Komplet GDPR Guide

Lær hvordan du opretter en lovpligtig artikel 30 fortegnelse. Få praktiske eksempler, skabeloner og tips til at overholde GDPR's krav til behandlingsaktiviteter.

Guide til artikel 30 fortegnelse i GDPR med praktiske eksempler og skabeloner

Introduktion

Har du stødt på begrebet artikel 30 fortegnelse før? Måske ved du allerede, at det relaterer sig til GDPR, men er du usikker på de specifikke detaljer, såsom hvad det præcist indebærer, hvordan du opretter en sådan artikel 30 fortegnelse, og hvordan den kan være til nytte for dig? En artikel 30 fortegnelse er et lovpligtigt dokument, som alle virksomheder skal have for at overholde GDPR. Denne artikel er designet til at guide dig igennem disse spørgsmål.

Hvad betyder Artikel 30 fortegnelse?

Din Artikel 30 fortegnelse er en rapport, der giver et overblik over, hvordan persondata behandles i din virksomhed. På engelsk er betegnelsen for artikel 30 fortegnelse "Record of Processing Activities", hvilket direkte oversættes til "fortegnelse over behandlingsaktiviteter".

En behandlingsaktivitet refererer til en detaljeret beskrivelse af, hvordan persondata behandles i virksomheden. Et eksempel kunne være din lønudbetalingsproces, hvor du dokumenterer, hvem der behandles data på, med hvilket formål og hvilke persondata der bliver behandlet. Du noterer også, hvilke andre parter persondata deles med, såsom en databehandler, der i dette tilfælde kunne være leverandøren af dit lønsystem eller en ekstern bogholder.

Artikel 30 i GDPR forordningen beskriver, hvilke oplysninger fra dine behandlingsaktiviteter du skal inkludere i en artikel 30 fortegnelse. Det er herfra, betegnelsen "Artikel 30 fortegnelse" stammer. Fortegnelsen bliver således en rapport, der tilbyder et overblik over alle processerne, hvor persondata behandles, inklusive de relevante oplysninger, som Artikel 30 foreskriver skal være med.

Læs også: GDPR compliance tjekliste | Del 1 - Sådan bliver du GDPR compliant.

Du bør sikre, at din artikel 30 fortegnelse inkluderer følgende punkter:

  • Navn og kontaktoplysninger på den dataansvarlige, dvs. din virksomhed, som er ansvarlig for behandlingen af personoplysningerne.

  • Formålene med dine data behandlinger.

  • En beskrivelse af, hvem der behandles data på (kategorier af registrerede) og hvilke persondata der behandles på disse personer (persondatakategorier).

  • Modtagere, som persondata sendes til, dette kan være databehandlere eller andre dataansvarlige.

  • Geografisk placering af modtagerne, dvs. om overførslen sker til andre EU-lande, sikre tredjelande, eller usikre tredjelande.

  • Slettefrister for, hvor lang tid du opbevarer persondata på den registrerede.

  • Tekniske og organisatoriske sikkerhedsforanstaltninger.

Din artikel 30 fortegnelse skal indeholde disse oplysninger. Der er ikke et specifikt krav til formatet, men det er vigtigt, at fortegnelsen er overskuelig og let at forstå. Det kunne for eksempel være organiseret i en tabel, hvor de relevante oplysninger er anført i hver deres kolonne, og dine behandlingsaktiviteter er listet i rækker.

Hvordan opretter du en artikel 30 fortegnelse?

At oprette en artikel 30 fortegnelse kræver systematisk tilgang. Start med at identificere alle dine behandlingsaktiviteter, og brug derefter en skabelon eller platform til at dokumentere hver aktivitet struktureret.

Den mest effektive måde at oprette din artikel 30 fortegnelse er ved først at kortlægge alle processer, hvor din virksomhed behandler persondata. Med .legal's data mapping software kan du systematisk dokumentere hver behandlingsaktivitet og automatisk generere din artikel 30 fortegnelse. Platformen sikrer, at du får alle påkrævede oplysninger med og overholder GDPR's krav til format og indhold.

Hvad er en artikel 30 fortegnelse brugt til?

En artikel 30 fortegnelses overordnede formål er at tilbyde et overblik. Det bør være nemt og hurtigt at læse en fortegnelse og skabe sig et overblik over, hvordan persondata behandles, og om der findes mangler. Din artikel 30 fortegnelse bliver derfor grundlaget for meget af dit videre GDPR-arbejde.

Dit GDPR-arbejde kan ikke reduceres til kun at omfatte en artikel 30 fortegnelse, men den udgør en væsentlig del af din dokumentation. Det er for eksempel fra fortegnelsen, du kan dykke dybere ned i dokumentationen. Derfra er det fordelagtigt at vurdere, hvad dit retsgrundlag for behandling er, og om du har indgået databehandleraftaler med alle relevante databehandlere osv.

Ved at have en solid artikel 30 fortegnelse gør du dit videre GDPR-arbejde meget lettere for dig selv. Fortegnelsen er din base, som du kan bygge videre på. Den bruges også i udarbejdelsen af din privatlivspolitik og risikovurderinger, som er centrale elementer i en effektiv GDPR-complianceproces.

Informationer fra din artikel 30 fortegnelse indgår i både din privatlivspolitik og dine risikovurderinger af den registrerede. På den måde bliver arbejdet i denne forbindelse lettere, da du kan hente mange af oplysningerne direkte fra dine dokumenterede behandlingsaktiviteter.

Artikel 30 fortegnelsen er også et lovpligtigt dokument, som du skal kunne præsentere ved for eksempel et inspektionsbesøg fra Datatilsynet. Derfor skal du også kunne eksportere og udlevere den i et format, der er læsbart og forståeligt for tredjeparter (artikel 30, stk. 4).

Hvem skal bruge en artikel 30 fortegnelse?

Der findes to scenarier, hvor en artikel 30 fortegnelse er nødvendig. Det første gælder for alle virksomheder, mens det andet specifikt vedrører virksomheder, der fungerer som databehandlere for andre dataansvarlige virksomheder. I de tidligere afsnit beskrev jeg en artikel 30.1 fortegnelse, der omhandler den dataansvarlige. Hvis du også fungerer som databehandler, er det vigtigt, at du ligeledes fokuserer på artikel 30.2 fortegnelsen for databehandlere.

Som Dataansvarlig

Hvis du er en virksomhed, der behandler persondata om medarbejdere og/eller kunder, er du påkrævet at have en artikel 30.1 fortegnelse. Alle virksomheder skal oprette denne fortegnelse, og da næsten alle virksomheder hører under denne kategori, vil du sandsynligvis også skulle gøre det.

Et eksempel kunne være, at du opbevarer oplysninger om dine medarbejdere, for eksempel gennem ansættelseskontrakter. Disse kontrakter indeholder persondata, da de blandt andet inkluderer medarbejderens navn. Denne proces skal derfor inkluderes i din artikel 30 fortegnelse. Når det kommer til fortegnelser, skelnes der ikke mellem, om du som dataansvarlig behandler generelle personoplysninger (som kontaktinformation) eller følsomme personoplysninger (som helbredsoplysninger); begge dele skal registreres i din fortegnelse.

Som en dataansvarlig virksomhed skal du altså altid oprette en artikel 30.1 fortegnelse.

Som Databehandler

En artikel 30.2 fortegnelse skal kun udarbejdes af virksomheder, der agerer som databehandlere. For eksempel, hvis du er en IT-leverandør, der tilbyder IT-systemer til dine kunder, behandler du persondata på deres vegne. Her har du indgået databehandleraftaler med dem. I sådanne tilfælde skal du oprette en artikel 30.2 fortegnelse. Artikel 30.2 fortegnelsen skal være adskilt fra din artikel 30.1 fortegnelse. Denne fortegnelse skal indeholde oplysninger om:

  • Navn og kontaktoplysninger på databehandleren (dig).
  • De kategorier af persondata, du behandler på vegne af den dataansvarlige (kunden).
  • Hvorvidt disse data overføres til et tredjeland, for eksempel USA.
  • En beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

Du skal kunne udarbejde en artikel 30.2 fortegnelse for hver eneste kunde, du behandler data for. Derfor er det vigtigt, at du sikrer en klar inddeling af fortegnelsen mellem dine kunder. med tydelig angivelse af, hvilke behandlingsaktiviteter du udfører på vegne af hver enkelt kunde.

Artikel 30 fortegnelse og GDPR compliance

Som nævnt tidligere udgør din artikel 30 fortegnelse en væsentlig del af dit arbejde med GDPR compliance. Du kan ikke opnå GDPR compliance uden at have din artikel 30 fortegnelse på plads. Desuden er det vigtigt, at din fortegnelse løbende opdateres i forbindelse med:

  • Ændringer i din virksomhed og dine processer: Indfører I en ny proces, der involverer behandling af persondata? Denne proces skal registreres i din artikel 30 fortegnelse. Hvis der sker ændringer i eksisterende processer, skal de berørte behandlingsaktiviteter naturligvis også opdateres, så de afspejler virkeligheden. Derfor skal fortegnelsen regelmæssigt valideres og opdateres, baseret på ændringer i din virksomhed.

  • Lovmæssige ændringer: Hvis der sker ændringer i GDPR-lovgivningen, der påvirker din artikel 30 fortegnelse, skal du implementere disse ændringer i dine behandlingsrutiner og derefter opdatere din fortegnelse, så den afspejler disse ændringer. Det kunne være, at en slettefrist, du har angivet, ikke længere anses for at være tilstrækkelig. I så fald skal du ændre dine procedurer og derefter opdatere fortegnelsen, så den afspejler de nye forhold.

At være GDPR compliant betyder ikke "bare" at have en artikel 30 fortegnelse. Det er essentielt, at det, du dokumenterer i din fortegnelse, også bliver efterlevet i praksis. Hvis du lister en række sikkerhedsforanstaltninger, skal du sikre dig, at disse foranstaltninger rent faktisk er implementeret i virksomheden. Ellers er fortegnelsen kun et stykke papir. Du opnår først fuld compliance, når du både dokumenterer og implementerer det dokumenterede i din virksomhed.

Hvad er fordelene ved en artikel 30 fortegnelse?

Der er mange fordele ved at have en artikel 30 fortegnelse. Den kan for eksempel udgøre grundlaget for dit videre GDPR arbejde, som tidligere nævnt. En anden fordel er, at en veludarbejdet artikel 30 fortegnelse tjener som et klart bevis på, at du har styr på dine data.

En opdateret artikel 30 fortegnelse, der indeholder alle nødvendige oplysninger og som kan fremlægges hurtigt, viser tydeligt, at du er compliant. Omvendt, hvis det tager lang tid at samle fortegnelsen, kan det vække mistanke om, at der også er andre områder i virksomheden, der mangler kontrol.

Du kan for eksempel blive bedt om at vise din artikel 30 fortegnelse under et tilsynsbesøg. I sådanne tilfælde er det en åbenlys fordel, hvis du hurtigt kan demonstrere, at du har den nødvendige dokumentation på plads. Det er ikke usandsynligt, at fortegnelsen vil være det første, tilsynet ønsker at se.

En opdateret og velorganiseret artikel 30 fortegnelse kan også være af interesse for andre tredjeparter, såsom i forbindelse med revisionserklæringer eller et virksomhedssalg. Her vil en potentiel interesse i at se bevis for dit GDPR-arbejde være til stede, og en velholdt fortegnelse vil klart indikere, at du har orden i sagerne.

Hvad er “best practices” for at lave og vedligeholde en artikel 30 fortegnelse?

Ifølge artikel 30, stk. 3, er det et krav, at du som dataansvarlig skal kunne fremvise din artikel 30.1 og artikel 30.2 fortegnelse i elektronisk format. Derfor er det første punkt på listen over ”best practices” naturligvis, at du opbevarer din artikel 30 fortegnelse elektronisk.

Dette kan være i et Excel-ark, et Word-dokument eller på en platform designet specifikt til at dokumentere og opretholde fortegnelser.

Læs også: Hvad er forskellen på at lave GDPR dokumentation i Excel og i GDPR software?

Næste skridt er at gøre den både overskuelig og ”personlig”. Udarbejd en artikel 30 fortegnelse, der afspejler din virksomhed og de processer, det giver mening at beskrive for netop din virksomhed. Dette vil sandsynligvis også resultere i den mest tilgængelige fortegnelse. På denne måde kan du også kommunikere mere klart med kolleger, idet fokus i højere grad vil være på arbejdsprocesserne end på GDPR i sig selv.

Det er vigtigt løbende at opdatere din artikel 30 fortegnelse. Det ville være uheldigt at bruge meget tid på at udarbejde din artikel 30 fortegnelse, for derefter bare at gemme Excel-arket i en mappe på computeren og glemme alt om det. Hvis fortegnelsen ikke opdateres over tid, vil den sandsynligvis ikke længere afspejle virkeligheden. Sørg for at etablere en proces, hvor du med jævne mellemrum gennemgår din dokumentation for behandlingsaktiviteter for at vurdere, om der er behov for opdateringer.

Læs også: Brug det gratis Compliance årshjul til at give dig besked, når du skal gennemgå dokumentation

Gør udarbejdelsen af fortegnelsen til et teamarbejde. Det er essentielt at have en person, der er ansvarlig for fortegnelsen, men det er en fordel, hvis flere kolleger bidrager med oplysninger om de behandlingsaktiviteter, de er involveret i. For eksempel er det ofte marketingafdelingens medarbejdere, der bedst ved, hvilke persondata de håndterer, når de sender nyhedsbreve ud. Faciliter derfor dialogen om behandlingsaktiviteter, interview medarbejdere, eller brug en samarbejdsplatform, hvor kolleger løbende kan opdatere de behandlinger, de er ansvarlige for.

Med .legals compliance-platform, Privacy, har vi effektiviseret denne proces. Her tilbyder vi blandt andet muligheden for, at du kan dokumentere dine behandlingsaktiviteter, delegere opgaver til kolleger, sætte valideringsprocesser og påmindelser op, og aktivt bruge artikel 30 fortegnelsen i forbindelse med for eksempel dine risikovurderinger.

Og mest afgørende, at du med få klik kan trække din fortegnelse og eksportere den i et format, der kan fremvises til for eksempel et tilsyn.

FAQ

Er en artikel 30 fortegnelse påkrævet?

Ja, som en dataansvarlig virksomhed skal du til enhver tid og på anmodning kunne fremvise en artikel 30.1 fortegnelse. Fungerer du også som databehandler? I så fald skal du ligeledes kunne fremvise en artikel 30.2 fortegnelse på anmodning.

Er en artikel 30 fortegnelse det samme som data mapping?

Din data mapping danner grundlag for din artikel 30 fortegnelse. Du skal registrere dine behandlingsaktiviteter, og med data mapping dokumenterer du netop disse aktiviteter. På den måde bliver din fortegnelse en defineret rapport, der viser relevante oplysninger fra din data mapping.

Læs mere: Sådan gør du dit data mapping arbejde simpelt med vores data mapping værktøj

Hvad er formatet på en artikel 30 fortegnelse?

Der er ikke noget fastdefineret format for en artikel 30 fortegnelse. Der er dog krav om, hvilke informationer fortegnelsen skal indeholde, samt at den skal kunne leveres i elektronisk format. Fortegnelser ses oftest udført i Excel eller på en platform designet til formålet.

Hvad er en risikovurdering i en artikel 30 fortegnelse?

GDPR tilgår databeskyttelse med en risikobaseret tilgang. Det er et krav ifølge GDPR, at du udfører en risikovurdering af den registrerede. Dette indebærer, at du skal foretage risikovurderinger af dine behandlingsaktiviteter. Din artikel 30 fortegnelse bliver derfor grundlaget for dine risikovurderinger, idet informationerne i fortegnelsen er afgørende for at vurdere potentielle risici.

Læs mere: Sådan udfører du en GDPR risikovurdering

Hvor ofte skal jeg opdatere min artikel 30 fortegnelse?

Din artikel 30 fortegnelse skal opdateres løbende, når der sker ændringer i dine behandlingsaktiviteter. Som minimum bør du gennemgå fortegnelsen hver 6. måned for at sikre, at den afspejler virkeligheden. Større ændringer som nye systemer, processer eller databehandlere kræver øjeblikkelig opdatering af fortegnelsen.

Helper swirl top

GDPR Compliance Software

Leder du efter GDPR-compliance software? Eller er du nysgerrig efter at lære mere om compliance-løsninger? Udforsk vores artikelserie, hvor vi går i dybden med emnet.
Left blob
Right blob
Helper swirl bottom
Eksempel på artikel 30 fortegnelse med behandlingsaktiviteter i .legal compliance platform

.legal compliance platform Lav din artikel 30 fortegnelse i dag

Benyt .legals compliance platform til at dokumentere din artikel 30 fortegnelse. Få adgang over skabeloner over behandlingsaktiviteter og kom hurtigt fra start - du kan bruge platformen gratis.
  • Kreditkort ikke nødvendigt
  • Ubegrænset tid på gratis plan
  • Ingen binding
Start nu - gratis
Book demo
+325 virksomheder bruger .legal
Region Sjælland
Aarhus Universitet
aj_vaccines_logo
Realdania
Right People
IO Gates
PLO
Finans Danmark
geia-food
Vestforbrænding
arp-hansen-hotel-group-logo-1
Evida
Klasselotteriet
NRGI1
BLUE WATER SHIPPING
Karnov
VP Securities
AH Industries
Ingvard Christensen
Lægeforeningen
InMobile
Zwipe
AK Nygart
DEIF
DMJX
KAUFMANN (1)
qUINT Logo
Axel logo
SMILfonden-logo
skodsborg_logo-1
nemlig.com
Footer topswirl

Info

.legal A/S

hello@dotlegal.com
+45 7027 0127

CVR: 40888888

Support

support@dotlegal.com
+45 7027 0127
Brug for hjælp?

 

Kontorer

Aarhus

Store Torv 14, 2. sal
8000 Aarhus C

København

Vesterbrogade 26
1620 København V

Produkter

Lad mig hjælpe jer i gang

mads-i-blob
Jeg står klar til at hjælpe jer i gang. Fang mig på +45 7027 0127
arrow-right-white Få en demo

.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.

Footer bottomswirl