Fortegnelse

En fortegnelse over behandlingsaktiviteter er et skriftligt dokument, der dokumenterer alle de måder, din organisation behandler persondata på. GDPR artikel 30 kræver, at du fører fortegnelsen og kan fremvise den ved tilsyn fra Datatilsynet.

Tilbage til ordbog

Hvad er en fortegnelse?

En fortegnelse over behandlingsaktiviteter (også kaldet artikel 30-fortegnelse) er dit centrale overblik over, hvordan din organisation behandler persondata. Den er fundamentet for din GDPR-compliance.

Fortegnelsen giver dig et samlet billede af, hvilke data du behandler, hvorfor, hvem der har adgang, og hvornår data slettes. Den er også det første dokument, Datatilsynet typisk beder om ved tilsyn.

Både dataansvarlige og databehandlere skal føre en fortegnelse, men indholdet er lidt forskelligt.

Hvad skal den indeholde?

For den dataansvarlige (artikel 30, stk. 1) skal fortegnelsen indeholde:

Navn og kontaktoplysninger på den dataansvarlige (og evt. DPO)
Formålet med behandlingen (formålsbegrænsning)
Kategorier af registrerede og persondata
Kategorier af modtagere, herunder i tredjelande
Overførsler til tredjelande og det anvendte overførselsgrundlag
Planlagte slettefrister
En generel beskrivelse af sikkerhedsforanstaltninger (behandlingssikkerhed)

For databehandleren (artikel 30, stk. 2) er kravene lidt anderledes og fokuserer på de behandlinger, der udføres på vegne af den dataansvarlige.

Hvem skal føre en fortegnelse?

Artikel 30, stk. 5 undtager organisationer med færre end 250 ansatte, men kun hvis behandlingen:

Er lejlighedsvis (ikke regelmæssig)
Ikke indebærer risiko for de registrerede
Ikke omfatter følsomme personoplysninger

I praksis har næsten alle organisationer regelmæssig behandling af persondata (fx lønbehandling, kundeadministration, nyhedsbreve). Derfor skal næsten alle føre en fortegnelse, uanset størrelse.

Datatilsynet anbefaler også, at alle organisationer fører en fortegnelse som led i god praksis og ansvarlighedsprincippet.

Vedligeholdelse i praksis

En fortegnelse er kun værdifuld, hvis den er opdateret. Følg disse trin:

Kortlæg: Start med at identificere alle behandlingsaktiviteter på tværs af afdelinger og systemer.
Dokumentér: Udfyld de påkrævede oplysninger for hver aktivitet.
Opdatér: Gennemgå fortegnelsen mindst årligt og ved ændringer i systemer, processer eller databehandleraftaler.
Involvér: Gør det til en tværfaglig opgave. IT, HR, salg og marketing behandler alle persondata.

Mange organisationer bruger et regneark til at starte med, men i takt med at kompleksiteten vokser, kan et dedikeret compliance-værktøj gøre vedligeholdelsen lettere.

Ofte stillede spørgsmål om fortegnelse

Hvad er en fortegnelse over behandlingsaktiviteter?

En fortegnelse er et skriftligt dokument, der dokumenterer alle de måder, din organisation behandler persondata på. Det er et krav i GDPR artikel 30 og skal indeholde oplysninger om formål, kategorier af data, modtagere, overførsler til tredjelande og planlagte slettefrister.

Hvem skal føre en fortegnelse?

Alle organisationer med mere end 250 ansatte skal føre en fortegnelse. Mindre organisationer skal også, hvis behandlingen ikke er lejlighedsvis, indebærer risiko for de registrerede, eller omfatter følsomme personoplysninger. I praksis betyder det, at næsten alle organisationer skal have en fortegnelse.

Hvad skal en fortegnelse indeholde?

For dataansvarlige skal fortegnelsen indeholde: organisationens navn og kontaktoplysninger, formålet med behandlingen, kategorier af registrerede og data, modtagere, overførsler til tredjelande, planlagte slettefrister og en beskrivelse af sikkerhedsforanstaltninger.

Hvor ofte skal fortegnelsen opdateres?

GDPR angiver ikke en specifik frekvens, men fortegnelsen skal altid afspejle den aktuelle situation. I praksis bør du gennemgå den mindst en gang årligt og opdatere den ved ændringer i behandlingsaktiviteter, systemer eller processer.