GDPR lader ingen plads til overset detaljer, når det kommer til databeskyttelse. Som virksomhedsejer eller ansvarlig for datasikkerhed står du over for udfordringen ved at navigere gennem GDPR's komplekse krav.
En af de centrale aspekter er oprettelsen af en artikel 30 Fortegnelse. Men hvad betyder dette egentlig og hvilke krav skal du opfylde for at kunne fremvise en gyldig fortegnelse?
Hvad er en artikel 30-fortegnelse?
GDPR artikel 30 kommer i forlængelse af databeskyttelsesforordningens fokus på ansvarlighed. Her bliver der lagt vægt på, at dataansvarlige - og i visse tilfælde også databehandlere – skal efterleve reglerne OG kunne påvise det.
En artikel 30-fortegnelse er kort fortalt et omfattende register, der indeholder detaljer om en organisationens databehandlingsaktiviteter, og det er designet til at give et klart overblik over, hvordan persondata håndteres i en organisation.
Fortegnelsen over behandlingsaktiviteter tjener også som et værdifuldt værktøj til at styrke datahåndteringen hos en organisation ved at gør den mere formålsbevidst. Samtidig med at der opbygges tillid hos kunder og interessenter, da det viser at organisationen tager databeskyttelse alvorligt og prioriterer at behandle persondata på en ansvarlig måde.
LÆS OGSÅ: Tilsyn med databehandlere
Hvad er dit ansvar?
Det er dit ansvar som dataansvarlig eller -behandler, at al behandlingsaktivitet fremgår af din fortegnelse, og at den lever op til artikel 30 i GDPR.
Vær opmærksom på, at Datatilsynet har ret til at anmode om indblik i din fortegnelse over behandlingsaktiviteter, selvom den primært er tænkt som et internt redskab. Du skal kunne fremvise fortegnelsen både i skriftlig og elektronisk form. Derudover er der ingen krav til fortegnelsens format.
Et centralt punkt er kravet om, at al behandling af personoplysninger skal være formålsbestemt. I hver fortegnelse skal du opgive ét relevant formål, inden du påbegynder behandlingerne af persondata. Du behøver ikke beskrive samtlige formål med dine behandlingsaktiviteter, men kan nøjes med at skrive det overordnede formål.
Eksempler på formål kan være en fortegnelse for kunder og kundeaktivitet. Det kan også være en fortegnelse for personaleadministration, som fx dækker over delformålene barsel, lønudbetaling og ferie.
Hvad skal en fortegnelse indeholde?
Når du først har forstået vigtigheden af artikel 30-fortegnelsen, er det afgørende at kende dens nøjagtige indhold. Såvel den dataansvarliges som databehandlerens fortegnelse indeholder afgørende elementer, der skal dokumenteres
Den dataansvarliges fortegnelse skal indeholde:
- Navn og kontaktoplysninger for den dataansvarlige
- Beskrivelse af formål for behandlinger af personoplysninger
- Kategorier af personoplysninger - minimum en skelnen mellem: almindelige personoplysninger (artikel 6), særlige personoplysninger (artikel 9) og oplysninger om strafbare forhold (artikel 10)
- Kategorier af modtagere ved videregivelse af personoplysninger
- Oplysninger om overførsler af personoplysninger til tredjelande og internationale organisationer
- Forventede slettefrister for de enkelte kategorier af personoplysninger
- Beskrivelse af virksomhedens tekniske og organisatoriske sikkerhedsforanstaltninger
Databehandlerens fortegnelse skal indeholde:
- Navn og kontaktoplysninger for databehandleren
- Kategorier af behandlinger som databehandleren udfører for den dataansvarlige
- Overførsler af personoplysninger til tredjelande og internationale organisationer
- Beskrivelse af virksomhedens tekniske og organisatoriske sikkerhedsforanstaltninger.
Datatilsynet opdaterer vejledning om fortegnelse
I august 2020 har Datatilsynet på baggrund af deres erfaringer opdateret deres vejledning om fortegnelse.
I vejledningen finder du på de sidste sider et eksempel på en fortegnelse over behandlingsaktiviteter.
LÆS OGSÅ: Skal din organisation have en DPO?