Registerfortegnelse

En registerfortegnelse er en dokumenteret oversigt over alle de behandlingsaktiviteter, din organisation foretager med personoplysninger. Den er lovpligtig under GDPR artikel 30 og er et af de vigtigste redskaber til at demonstrere overholdelse af forordningen.

Tilbage til ordbog

Hvad er en registerfortegnelse?

En registerfortegnelse (ogsa kaldet "fortegnelse over behandlingsaktiviteter" eller "artikel 30-fortegnelse") er et centralt compliance-dokument, der beskriver, hvordan din organisation behandler persondata. Den giver dig og tilsynsmyndigheder et samlet overblik over, hvilke data du behandler, hvorfor, hvem der har adgang, og hvordan du beskytter dem.

GDPR artikel 30 goer registerfortegnelsen lovpligtig for bade dataansvarlige og databehandlere. Der er en begraenset undtagelse for virksomheder med under 250 medarbejdere, men den gaelder kun, hvis behandlingen er lejlighedsvis, ikke indebarer risiko for den registrerede og ikke omfatter foelsomme data. I praksis er de fleste virksomheder omfattet.

Registerfortegnelsen er mere end et compliance-krav. Den er fundamentet for dit databeskyttelsesarbejde. Uden den ved du ikke praecis, hvilke data du har, og du kan ikke lave meningsfulde risikovurderinger eller konsekvensanalyser.

Indhold og krav

GDPR artikel 30 specificerer, hvad registerfortegnelsen skal indeholde. For dataansvarlige:

Navn og kontaktoplysninger: Den dataansvarliges navn, eventuelt en faelles dataansvarligs, en repraesentants og DPO'ens kontaktoplysninger.
Formal med behandlingen: Hvad bruger du dataene til? Hvert formal skal beskrives klart.
Kategorier af registrerede: Kunder, medarbejdere, leverandoerkontakter, ansoegere osv.
Kategorier af personoplysninger: Navne, e-mail, CPR-numre, helbredsoplysninger osv.
Modtagere: Hvem deler du data med? Det inkluderer databehandlere og eventuelle tredjelandsoverfoersler.
Overfoersler til tredjelande: Dokumentation af overfoerselsgrundlag (f.eks. standardkontraktbestemmelser).
Slettefrister: Hvornar sletter du dataene?
Sikkerhedsforanstaltninger: En generel beskrivelse af dine tekniske og organisatoriske foranstaltninger.

For databehandlere er kravene lidt anderledes og fokuserer pa de kategorier af behandling, der udfoeres pa vegne af dataansvarlige.

Sadan opbygger du registerfortegnelsen

Start med at kortlaegge alle dine behandlingsaktiviteter. Ga igennem hver afdeling: HR, salg, marketing, kundeservice, IT, finans. Spoerg: hvilke personoplysninger bruger I, om hvem, og til hvad?

Strukturer fortegnelsen, sa hver behandlingsaktivitet er en selvstaendig post. "Rekruttering" er en aktivitet, "Lonadministration" er en anden, "Nyhedsbrevsudsendelse" er en tredje. Det giver overblik og goer det lettere at opdatere.

Brug et dedikeret vaerktoj frem for regneark. Regneark er svaere at vedligeholde, mangler versionsstyring og bliver hurtigt uoverskuelige, nar antallet af behandlingsaktiviteter vokser.

Kobl registerfortegnelsen til dine oevrige compliance-aktiviteter. Nar du kender dine behandlingsaktiviteter, kan du lettere vurdere risici, gennemfoere konsekvensanalyser og dokumentere dine politikker og procedurer.

Vedligeholdelse og brug

Registerfortegnelsen er et levende dokument. Den skal opdateres, nar du indfoerer nye behandlingsaktiviteter, aendrer eksisterende, skifter leverandoer eller aendrer formal.

Goer opdatering til en fast proces. Mange organisationer bruger en kvartalsvis gennemgang, suppleret med ad hoc-opdateringer, nar der sker aendringer. Udpeg en ansvarlig person for hver behandlingsaktivitet, sa ansvaret er klart.

Brug registerfortegnelsen aktivt i din intern revision. Den er et oplagt udgangspunkt for at vurdere, om dine behandlinger stadig er lovlige, proportionelle og sikre.

Ved tilsyn er registerfortegnelsen typisk det foerste dokument, Datatilsynet beder om. En opdateret og velstruktureret fortegnelse signalerer, at du tager databeskyttelse alvorligt. En mangelfuld eller foraeldet fortegnelse signalerer det modsatte.

Registerfortegnelsen understoetter ogsa din evne til at besvare henvendelser fra registrerede. Nar en kunde beder om indsigt i, hvilke data du har om dem, giver fortegnelsen dig et overblik over, hvor du skal lede.

Ofte stillede spørgsmål om registerfortegnelse

Er en registerfortegnelse lovpligtig?

Ja, GDPR artikel 30 kraever, at bade dataansvarlige og databehandlere foerer en fortegnelse. Undtagelsen for virksomheder med under 250 medarbejdere gaelder kun ved lejlighedsvis behandling uden risiko og uden foelsomme data. I praksis er de fleste omfattet.

Hvad skal registerfortegnelsen indeholde?

For dataansvarlige: navn og kontaktoplysninger, formal med behandlingen, kategorier af registrerede og personoplysninger, modtagere, tredjelandsoverfoersler, slettefrister og en beskrivelse af sikkerhedsforanstaltninger.

Hvor ofte skal registerfortegnelsen opdateres?

Loebende, nar behandlingsaktiviteter aendrer sig. De fleste organisationer supplerer med en kvartalsvis gennemgang for at sikre, at fortegnelsen er komplet og opdateret.

Skal registerfortegnelsen deles med Datatilsynet?

Du skal stille den til radighed for Datatilsynet pa anmodning. Du behoever ikke indsende den proaktivt, men den skal vaere klar og opdateret, sa du kan fremvise den ved et tilsyn.