Hvad er behandlingsaktiviteter?

Introduktion

Hvis din virksomhed behandler kundernes eller medarbejdernes persondata – og det gør næsten alle virksomheder – så skal du vide, hvad en behandlingsaktivitet er. 

‘Behandlingsaktivitet’ er et vigtigt begreb i GDPR, som man bør kende for at efterleve reglerne. Det skyldes bl.a., at GDPR-reglerne kræver, at du skal kortlægge dine behandlingsaktiviteter og beskrive dem i fortegnelsen jf. Artikel 30. 

Definition af behandlingsaktiviteter

GDPR definerer en behandling til at være: “..enhver aktivitet eller række af aktiviteter — med eller uden brug af automatisk behandling — som personoplysninger eller en samling af personoplysninger gøres til genstand for, f.eks. indsamling, registrering, organisering, systematisering, opbevaring, tilpasning eller ændring, genfinding, søgning, brug, videregivelse ved transmission, formidling eller enhver anden form for overladelse, sammenstilling eller samkøring, begrænsning, sletning eller tilintetgørelse” (GDPR artikel 4)

Skrevet på en anden måde, så dækker behandlingsaktiviteter over alle de aktiviteter, hvor der behandles personoplysninger. Dette kan være alt fra indsamling og opbevaring til brug, videregivelse eller sletning af data. I praksis betyder det, at hvis en aktivitet involverer persondata, for eksempel navn, adresse, telefonnummer eller e-mail, så er det en behandlingsaktivitet.

Hvis du ikke er 100% sikker på, hvad personoplysninger er, så bør du først afdække dette.

Hvorfor er det vigtigt?

Behandlingsaktiviteter er et centralt omdrejningspunkt i arbejdet med GDPR. 

Det er nødvendigt at kende de enkelte processer med behandling af personoplysninger og kortlægge samtlige i organisationen, fordi de viser præcist, hvordan personoplysninger bliver behandlet i hele organisationen. 

En organisation behandler typisk data til brug for flere formål, som er udmøntet i forretningsprocesser.

En forretningsproces kan eksempelvis være behandlingen af fakturaer, således at disse kan bogføres korrekt. Dette er en afgrænset proces, hvor en bestemt type af data behandles, herunder persondata. 

Formålet med behandlingen af fakturaer står klart: Fakturaerne skal bogføres i et regnskabssystem, da bogføringsloven kræver dette. Dette er derfor en klart defineret proces, som er adskilt fra andre databehandlinger i organisationen fx lønudbetaling, som indebærer en bestemt type persondata og andre arbejdsgange. 

Når vi har defineret disse processer(behandlinger), så hjælper dette os til at udvikle en bedre forståelse af hvordan, at vi behandler data fx hvilke medarbejdere der foretager behandlingen, samt hvilke IT-systemer, som anvendes til at foretage behandlingen, etc. Med en komplet kortlægning af alle vores behandlinger af persondata i organisationen, så giver dette os et redskab til at dykke ned i hver enkelt behandling og sikre os, at det foregår korrekt og efterlever databeskyttelsesreglerne. 

Dette er grunden til, at det er krav i GDPR-reglerne, at alle, der behandler persondata, udarbejder og vedligeholder en fortegnelse over deres behandlingsaktiviteter.

Dokumentation i artikel 30 fortegnelse

Denne kortlægning af behandlingsaktiviteter har til formål at dokumentere organisationens behandlingsaktiviteter i en artikel 30 fortegnelse, hvilket er et lovkrav. Denne dokumentation kan laves manuelt i et regneark eller med GDPR software, som ofte gør processen mere overskuelig.

Sådan identificerer du behandlingsaktiviteter

Det kræver en god forståelse af, hvordan persondata håndteres i praksis for at kunne kortlægge sine behandlingsaktiviteter. Det er vigtigt, at dokumentationen af behandlingerne afspejler den virkelighed, medarbejderne arbejder i.

I små organisationer med få ansatte er det ofte ligetil at kortlægge behandlingsaktiviteterne. Som GDPR-ansvarlig kan du selv definere behandlingerne og spørge kollegaer direkte om deres arbejdsopgaver, hvis der er tvivl. Alternativt, så kan du holde en lille kortlægningssession med kollegerne, således at I sammen kan definere organisationens behandlinger.

I en større organisation med fx +100 ansatte, bør du gribe kortlægningen an på en mere inddragende og organiseret facon. Vi har beskrevet dette i detaljer i denne GDPR tjekliste.

19 eksempler på behandlingsaktiviteter

For at fremme forståelsen for, hvad en behandlingsaktivitet kan være i din virksomhed, så er der herunder udarbejdet 19 eksempler på typiske behandlingsaktiviteter. 

For at hjælpe dig i gang med din GDPR compliance, så er disse eksempler allerede oprettet som skabeloner i Privacy, så du simpelt og hurtigt kan kortlægge dine behandlingsaktiviteter. 

Du kan kortlægge 5 behandlingsaktiviteter, ud fra vores skabeloner, helt gratis. Start din gratis compliance platform her (ingen binding, intet behov for kreditkort og ubegrænset tid på vores gratis plan).

HR behandlingsaktiviteter

HR-administration

En behandlingsaktivitet kan være den generelle administration i forbindelse med ansættelsesforholdet. I HR administreres en bred vifte af personoplysninger som medarbejderkontrakter, fraværsregistreringer og sygemeldinger. Disse data kan bl.a. omfatte CPR-numre, lønforhold eller helbredsoplysninger, som kræver særlig opmærksomhed i henhold til GDPR.

Arbejdsmiljø og arbejdsskader

Når der registreres arbejdsulykker og arbejdsskader, så indebærer det behandling af fx følsomme personoplysninger, og dette sker med henblik på at overholde arbejdsmiljølovgivningen og sikre medarbejdernes trivsel. 

Arbejdsmiljøreglerne kræver, at arbejdsskader dokumenteres og anmeldes, hvilket gør det nødvendigt at adskille denne aktivitet fra andre HR-processer.

Kørselsadministration

Administration af firmabiler og medarbejderes kørselsregnskaber indebærer håndtering af data om deres kørsel, hvilket er en behandling af personoplysninger, hvilket gør det til en behandlingsaktivitet. Aktiviteten adskiller sig fra øvrige HR-opgaver, da den specifikt vedrører kørselsadministration.

Rejseadministration

Administration af rejser indebærer behandling af persondata i relation til rejseplanlægning, pasoplysninger og udgiftsbilag. Rejseadministration kan betragtes som en særskilt behandlingsaktivitetet, da formålet er at behandle personoplysninger for at sikre medarbejderne en god rejse. Denne behandling er desuden forskellig fra kørselsadministration, som vedrører en anden type persondata og fx ikke nødvendiggør behandling af pasoplysninger.. 

Rekruttering

Rekruttering omfatter typisk behandling af CV’er, ansøgninger og referencer. Disse data bruges til at vurdere ansøgernes kvalifikationer for at afgøre, om de bør ansættes i organisationen. Denne behandling adskiller sig naturligt fra behandlingen af eksisterende medarbejdere.

Sikkerhed

Adgangskontrol og logning af aktiviteter gennem adgangskort eller sikkerhedssystemer er en behandlingsaktivitet, fordi data om medarbejderes adfærd og adgange kan bruges til at identificere dem. Aktiviteten adskiller sig fra øvrige HR-opgaver ved at have organisationens sikkerhed som formålet for behandlingen. 

Uddannelses- og kursusadministration

Medarbejdere modtager løbende uddannelse og kurser, og det er naturligt at betragte denne behandling af medarbejdernes oplysninger særskilt. 

Økonomi behandlingsaktiviteter

Bogholderi

Behandling af fakturaer og regnskabsdata indeholder data om kunder, freelancere,  leverandører, mv.. Dette gør bogholderi til en behandlingsaktivitet, da data som navne, adresser og betalingsoplysninger kan indgå. Det er et lovkrav at føre regnskab, og bogholderi er derfor typisk en særskilt behandlingsaktivitet.

ERP- of CRM-systemer

ERP- og CRM-systemer bruges til at administrere interne processer omkring salg, hvor der behandles data om kunder og potentielle kunder. Behandlingen af persondata i denne sammenhæng fokuserer på det operationelle i forhold til at skaffe kunder samt håndtere dialogen med eksisterende kunder. Denne behandling adskiller sig derfor fra eksempelvis bogføring af fakturaer.

Lønudbetaling

Udbetaling af løn indebærer behandling af medarbejderes bankoplysninger og skattekort. Lønudbetaling adskiller sig som en særskilt behandling fra fx betaling af fakturaer, da arbejdsgiveren er underlagt særlige krav, der kræver en anden type oplysninger m.m.

Pension og forsikring

Administrationen af pensionsordninger og forsikringsaftaler omfatter data som medarbejderes forsikringsvalg og pensionsopsparinger. 

Markedsførings behandlingsaktiviteter

Billeder og videoer til markedsføringsformål

Når behandling af medarbejderes personoplysninger anvendes til markedsføringsformål, så går dette ud over, hvad man kan forvente af en almindelig ansættelse, og derfor kan man sjældent bruge ansættelseskontrakten som hjemmel til fx at bruge videoer af medarbejderne til markedsføring. Man skal formentlig finde en anden hjemmel til denne behandling fx arbejdsgiverens legitime interesse, og derfor giver det mening at betragte denne behandling som en særskilt behandlingsaktivitet.

Hjemmeside (CMS)

Administrationen af en hjemmeside kan involvere behandling af persondata, der indsamles via kontaktformularer eller når der sættes cookies i brugerens browser. Denne administration er af en anden karakter end for eksempel administrationen af sociale medier til brug for at lave markedsføring.

Sociale medier (SoMe)

Sociale medier bruges til at promovere en organisation og engagere sig med potentielle kunder via kampagner og opslag, hvortil der kan gives kommentarer, likes og delinger. Det gøres via en tredjepartsplatform, hvilket adskiller sig fra organisationens markedsføring på egen hjemmeside.

Udsendelse af nyhedsbreve

Udsendelse af nyhedsbreve via email medfører, at modtagernes mailadresser og øvrige tilmeldingsoplysninger skal behandles. Hjemlen til at sende nyhedsbreve er typisk, at modtagerne har givet deres samtykke hertil, for eksempel ved at have tilmeldt sig via afsenderens hjemmeside.

Daglig drift behandlingsaktiviteter

Gæsteregistrering

Mange organisationer kræver, at besøgende på lokationen registrerer sig med navn og kontaktoplysninger, før de får adgang, af hensyn til adgangskontrol. Dette gør gæsteregistreringen til en behandlingsaktivitet, og gæsterne skal eksempelvis oplyses om, hvordan deres personoplysninger behandles. Denne oplysning havde ikke været nødvendig, hvis de ikke blev registreret.

Korrespondance, mv. med samarbejdspartnere, etc.

Forskellige forretningsopgaver kræver, at der for eksempel er en løbende dialog med samarbejdspartnere omkring virksomhedsforhold eller en ny idé, eller at der skrives noter, som kan udveksles mellem parterne. Denne behandling er fx adskilt fra henvendelser via hjemmesiden fra potentielle kunder. 

Produkt- og kundeopfølgning behandlingsaktiviteter

Der kan ske opfølgning med kunder, som relaterer sig til deres præferencer og køb for at forbedre kvaliteten af produkterne og sikre god kundeservice. Denne behandling ligger ud over en normal køb- og salgsrelation og kan derfor betragtes som en selvstændig behandlingsaktivitet, hvor en hjemmel kan være enten samtykke fra kunden eller legitim interesse. Det er vigtigt for denne behandling og en god grund til at gøre den til en særskilt behandlingsaktivitet, at kunden bliver oplyst om denne specifikke behandling af personoplysninger.

IT-administration behandlingsaktiviteter

Oprettelse og vedligeholdelse af brugerkonti, logning af aktiviteter og adgangskontrol er behandlingsaktiviteter, fordi de arbejder med data om organisationens brugere og med henblik på at sikre data- og IT-sikkerheden. Denne behandling er derfor tydeligvis anderledes end fx lønudbetaling, som dog også er en behandling af medarbejdernes oplysninger.

Afslutning

For at overholde GDPR er det vigtigt at forstå, hvad behandlingsaktiviteter er, og hvordan de adskiller sig. Dette gør det muligt at kortlægge din virksomhed, så den reelt afspejler organisationens praksis i dokumentationen af fortegnelsen.

En korrekt kortlægning har stor betydning for, hvordan din organisation efterlever GDPR-reglerne i praksis. Når du senere arbejder med GDPR-compliance, skal du sikre, at personoplysninger behandles korrekt og sikkert for hver enkelt behandlingsaktivitet. Det bliver væsentligt nemmere, hvis behandlingsaktiviteterne er tilpasset de faktiske arbejdsprocesser i organisationen.

Ofte stillede spørgsmål om behandlingsaktiviteter