Datatilsynet opdaterer vejledning om fortegnelser

Datatilsynet opdaterer vejledning om fortegnelser

Den eksisterende vejledning om fortegnelser er opdateret på baggrund af de erfaringer, Datatilsynet har gjort sig i forbindelse med en række planlagte tilsyn, hvor omdrejningspunktet netop var de dataansvarliges overholdelse af artikel 30. Få her et overblik over, hvad der er nyt, hvad der skal opfyldes, og hvad du bør følge op på.

Hvad er nyt?

Datatilsynet fremhæver i deres pressemeddelelse om den nye vejledning, at formålet med kravet om fortegnelse er at danne en tydelig kobling imellem, hvilke kategorier af personoplysninger der behandles om de enkelte kategorier af registrerede. Den opdaterede vejledning stiller højere krav til fortegnelsens detaljeringsgrad, end Datatilsynet i deres første vejledning – og tilhørende eksempel – lagde op til, særligt for så vidt angår videregivelse. Som Datatilsynet fremhæver, stemmer dette overens med princippet om ansvarlighed, da den dataansvarlige skal overholde kravene i forordningen og ikke mindst kunne dokumentere overholdelsen. Dette kræver bl.a., at man er bevidst om, hvilke oplysninger man behandler om hvem og hvordan.

Det kræver for det første, at det af fortegnelsen fremgår, hvilke oplysninger der konkret behandles om hvilke kategorier af registrerede. Som man vil se af Datatilsynets eksempel i den opdaterede vejledning, kræver opstillingen af ”jobansøgere, ansatte og tidligere ansatte” i samme fortegnelse (”personaleadministration”), at man opdeler hver kategori af registrerede og skriver, hvilke oplysninger man behandler om hver.

For det andet vil man, for så vidt angår beskrivelsen af videregivelse, skulle beskrive dataflowet for hver modtager. Det vil sige, at man udover at angive hvilke modtagere, der videregives oplysninger til, skal præcisere, hvilke personoplysninger, der vil blive videregivet til den pågældende modtager. Hertil bør det præciseres hvilke kategorier af registrerede, de pågældende oplysninger vedrører. Denne del af fortegnelsen skal føres for hver modtager af personoplysninger.

Dataflowet for videregivelse kan illustreres med Datatilsynets eget eksempel, hvor der for hver behandlingsaktivitet er skrevet følgende til hver modtager af oplysninger:

Kilde: Datatilsynet

Datatilsynet bemærker for god ordens skyld i pressemeddelelsen, at der er tale om informationer, man som dataansvarlig og databehandler allerede bør være i besiddelse af, idet de bl.a. også bruges til at udarbejde risikovurderinger og implementere passende sikkerhedsforanstaltninger.

Hvad er en fortegnelse?

Vi træder lige et skridt tilbage og får genopfrisket, hvad en fortegnelse er. Fortegnelsen er det overblik, du altid er forpligtet til at have liggende. Som udgangspunkt er det et internt dokument, men det skal kunne forevises Datatilsynet, hvis de beder om det. Det vil de typisk gøre i forbindelse med et tilsyn, og da det er et dokument, du forventes at have udarbejdet og løbende vedligeholdt, anmodes der ofte om udlevering af det med en ganske kort frist – en frist der medfører, at du ikke vil kunne nå at producere det til lejligheden.

Efter artikel 30 i forordningen skal der for hver behandlingsaktivitet (f.eks. rekruttering, personaleadministration, salg, indkøb, markedsføring) stå følgende i fortegnelsen, når du er dataansvarlig:

• Navn og kontaktoplysninger på den dataansvarlige
• Formålet med behandlingen af personoplysninger
• En beskrivelse af kategorierne af registrerede og af personoplysningerne der behandles
• Til hvem personoplysninger videregives
• Beskrivelse af eventuel overførsel af oplysninger til et tredjeland eller international organisation
• De forventede slettefrister for de forskellige kategorier af personoplysninger
• En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

Hvis du (også) agerer databehandler, skal du udarbejde en særskilt fortegnelse med følgende indhold:

• Navn og kontaktoplysninger på databehandleren og på hver dataansvarlig, på hvis vegne du behandler personoplysninger
• Kategorier af behandling, der foretages på den dataansvarliges vegne
• Beskrivelse af eventuel overførsel af oplysninger til et tredjeland eller internationale organisation
• En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger.

Der er ingen formkrav til en fortegnelse, så det er op til dig, om den skal laves i Word, Excel, egnet GDPR-software eller lignende. Fortegnelsen skal ses som et bidrag til den samlede dokumentation for, at den dataansvarlige/databehandleren overholder forordningens krav.

Hvad gør vi nu?

Som dataansvarlig eller databehandler bør du som altid holde dine fortegnelser opdateret, så de stemmer overens med de behandlingsaktiviteter, du har. Nu bør du endvidere sikre, at fortegnelserne opfylder Datatilsynets udvidede forventninger til indholdet for på fyldestgørende vis at efterleve princippet om ansvarlighed. Det kan samtidig være en passende anledning til at gennemgå fortegnelserne i sin helhed og påse, at de fortsat er retvisende for organisationens behandling af personoplysninger.

I Datatilsynets vejledning s. 18 finder du det opdaterede eksempel på en fortegnelse for en dataansvarlig. Denne kan med fordel bruges som rettesnor til dine egne fortegnelser. Du finder vejledningen her.