Fortegnelseskrav til GDPR

Som noget nyt skal man føre en intern fortegnelse over ens behandling af personoplysninger.

Fortegnelseskravet skal ses som en hjælp til at kunne påvise, at man rent faktisk efterlever kravene i persondataforordningen ved altid at have en oversigt over ens databehandlingsaktiviteter.

”Fortegnelseskravet erstatter det hidtidige krav om forudgående registrering hos Datatilsynet. Strengt juridisk kan man derfor opfatte kravet som en lettelse, selvom de fleste formentlig vil se det som endnu et nyt dokumentationskrav,” siger Tim Nielsen, advokat hos DAHL Advokatfirma, og med speciale i bl.a. persondataforordningen.

Udover at fortegnelsen skal findes skriftlig og elektronisk, er der dog ikke specifikke krav til selve formatet.

Fortegnelsen skal da også mest af alt ses som en intern øvelse, som Datatilsynet dog kan bede om at få udleveret, hvis de mener, det er relevant.

Dataansvarlig eller databehandler?

Der er nødvendigt at vurdere, om man er dataansvarlig eller databehandler i en given situation, da kravene til fortegnelsen ikke er helt de samme.

”Generelt skal den dataansvarlige medtage flere oplysninger end databehandleren i hver fortegnelse. Omvendt vil den dataansvarlige typisk kun skulle udarbejde én fortegnelse per forretningsproces. Den typiske databehandler skal derudover udarbejde en fortegnelse per kunde,” udtaler Tim Nielsen.

Formål og kategorier skal dokumenteres

Navn og kontaktoplysninger på den dataansvarlige og evt. DPO skal naturligvis fremgå af dokumentet.

Derudover skal man beskrive, hvorfor man indsamler og behandler data.

Det betyder ikke, at man skal beskrive samtlige formål med ens aktiviteter, men at man typisk skal beskrive det overordnede formål.

F.eks. kan man nøjes med at skrive Personaleadministration uden at behøve at nævne specifikke indsamlings- eller behandlingsformål som barsel, ferie og lønudbetaling.

Hvilke kategorier af registrerede og personoplysninger, man har, skal også noteres.

Eksempler på kategorier af registrerede kunne være kunder, medlemmer, ansøgere samt nuværende og tidligere ansatte.

Kategorier på personoplysninger kan være folkeregistreoplysninger, kontonummer og kontaktoplysninger. Indsamler man særligt følsomme personoplysninger om f.eks. race, politisk overbevisning eller helbredsoplysninger, skal disse kategorier også oplyses.

Hvis du videregiver personoplysninger til f.eks. SKAT eller PBS pga. betaling og til pensionskasser, skal du også huske at notere dette.

Skal oplysningerne føres ud af EU/EØS, skal dette også noteres. Husk at blot læseadgang også anses for en overførelse.

Slettefrister og interne foranstaltninger

Hvis det er muligt, at skal man også oplyse, hvornår man forventer at slette persondata. Slettefristerne skal angives for de forskellige kategorier af oplysninger, man behandler.

”Generelt lægger persondataforordningen op til, at man ikke gemmer persondata længere end højst nødvendigt, og derfor bør man løbende vurdere, om data skal slettes,” fortæller Tim Nielsen.

Derudover skal man, hvis det er muligt, beskrive, hvilke tekniske og organisatoriske sikkerhedsforanstaltninger man foretager sig for at sikre, at man overholder persondataforordningen.

En beskrivelse af ens tekniske sikkerhedsforanstaltninger kunne f.eks. være, at man sikrer, at der kun er adgang til pc’ere med individuelt brugernavn/password, at man bruger virusscannere og at man har etableret backup for ens servere.

Organisatoriske sikkerhedsforanstaltninger kan indeholde medarbejdertræning samt procedurer for behandling af personoplysninger.

Databehandlerens fortegnelse

De samme kontaktoplysninger skal angives også i en databehandlingssituation. Herudover skal kontaktoplysninger på den relevante dataansvarlig også angives.

Formålet, kategorier af registrerede, kategorier af personoplysninger samt slettefrister, behøver ikke blive beskrevet. Derimod skal kategorierne af behandlinger beskrives. Dvs. hvilke aktiviteter, databehandleren udfører.

Derudover skal evt. overførelser ud af EU/EØS samt de tekniske og organisatoriske sikkerhedsforanstaltninger beskrives.

Undtagelse

Visse behandlinger er undtaget fra fortegnelseskravene. I realiteten vil det formentlig kun være lejlighedsvis behandling, der bliver undtaget – og kun hvis den foretages i virksomheder med under 250 ansatte, ikke indebærer en særlig risiko og ikke vedrører følsomme data.

Skabelon til fortegnelseskrav

Datatilsynet har udgivet en skabelon til fortegnelser over behandlingsaktiviteter (som dataansvarlig), som er ganske fin.

Men som tidligere nævnt er der ikke et bestemt formkrav til dette, så man kan også sagtens udarbejde sin egen.

Som eksempel har vi indsat IT-Branchens oplysninger (som dataansvarlig) i nedenstående skabelon.

Dataansvarlig
Virksomhedens navn, adresse, hjemmeside, tlf., e-mail og cvr-nr. Har man en fælles dataansvarlig, en dataansvarlig repræsentant eller en databeskyttelsesrådgiver, skal man også skrive deres kontaktinfo ind.
IT-Branchen
Børsen, Slotsholmsgade
1217 København K
www.itb.dk
Tlf.: 72255502
e-mail: itb@itb.dk
cvr-nr.: 12391641
Formål(ene)
Her skal du beskrive behandlingernes samlede logiske formål
– Personaleadministration
– Medlemshåndtering
– Interessentvaretagelse
Kategorier af registrerede
Eksempelvis kunder, partsrepræsentanter, medarbejdere, andre virksomheder, mv.
Der behandles oplysninger om følgende registrerede personer:
– Ansatte, tidligere ansatte, ansøgere
– Medlemmer, tidligere medlemmer, potentielle medlemmer
– Politikere, embedsmænd, journalister
Kategorier af personoplysninger
Hvilke personoplysninger og særlige personoplysninger (følsomme data) har I om personer?
– Identitetsoplysninger
– Oplysninger vedr. ansættelsesforhold til brug for administration
– Kontaktoplysninger
– Faglige interesser
– Politisk overbevisning
– Fagforeningsmæssigt tilhørsforhold
– Helbredsoplysninger
– Strafbare forhold
Modtagere af personoplysninger
Eksempelvis myndigheder, virksomheder, mv.
– SKAT
– Pensionskasser
– Banker og betalingssystemer
– Cloudbaserede Kundesystemer (CRM, event og analyse)
– Cloudbaserede dokumentsystemer
Tredjelande og internationale organisationer
Eksempelvis databehandlerens placering i tredjelande eller cloud løsningers placering i tredjelande.
Nej
Sletning
De forventede tidsfrister for sletning af forskellige kategorier af oplysninger.
Personoplysninger slettes som udgangspunkt senest tre år efter afslutning af brug, med mindre der af regnskabsmæssige eller juridiske årsager er behov for at forlænge tidsperioden.
Tekniske og organisatoriske sikkerhedsforanstaltninger
Hvis det er muligt skal der gives en generel beskrivelse af virksomhedens foranstaltninger.
Behandling af personoplysninger sker i overensstemmelse med interne retningslinjer, der bl.a. fastsætter rammerne for autorisations- og adgangsstyring samt logning. Der er installeret aktive virusscannere samt backup og genetableringsprocedure for alle servere. Fysisk materiale opbevares aflåst.

Vil du vide mere?

I forbindelse med persondataforordningen har vi lavet et tema-univers om emnet, hvor du kan finde råd og vejledning om, hvordan du bliver klar til GDPR-direktivet.

Du kan også læse Datatilsynets vejledning til fortegnelser eller downloade ovenstående skabelon fra IT-Branchens hjemmeside.

Og så er du som medlem af IT-Branchen altid velkommen til at tage fat i DAHL Advokatfirma eller i Dansk Erhvervs jurister på 33 74 64 00, hvis du har spørgsmål om persondataforordningen.