Ny vejledning om fortegnelseskravet i Databeskyttelsesforordningen

06 februar 2018

Datatilsynet har den 31. januar 2018 offentliggjort en vejledning om fortegnelseskravet i Databeskyttelsesforordningen (GDPR). Vejledningen er den nyeste vejledning om GDPR, der løbende offentliggøres på Datatilsynets hjemmeside.

Det er som udgangspunkt et krav for både dataansvarlige og databehandlere at føre en fortegnelse over deres behandlingsaktiviteter i henhold til Artikel 30 i Databeskyttelsesforordningen. Kravet gælder dog som udgangspunkt kun for virksomheder og organisationer, der beskæftiger mindst 250 personer.

Hvis dine behandlingsaktiviteter omfatter mindst én af nedenstående behandlingsaktiviteter, vil du være forpligtet til at føre en fortegnelse over dine behandlingsaktiviteter, uanset antallet af medarbejdere i din virksomhed eller organisation:

  1. din behandlingsaktivitet sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder,
  2. behandlingen foregår oftere end lejlighedsvist, eller
  3. behandlingen indeholder følsomme personoplysninger eller oplysninger om straffedomme og/eller lovovertrædelser.

Undtagelsen til fortegnelseskravet har et snævert anvendelsesområde

I vejledningen står, at undtagelsen til fortegnelseskravet har et snævert anvendelsesområde, fordi en behandlingsaktivitet typisk foregår oftere end lejlighedsvist.

Et eksempel på en behandling, der typisk ikke er lejlighedsvis, er behandlingen af personoplysninger i forbindelse med personaleadministration. Da stort set alle virksomheder og organisationer behandler deres medarbejderes personoplysninger som led i personaleadministration, har undtagelsen et meget snævert anvendelsesområde.

Fortegnelsens indhold

Vejledningen indeholder beskrivelser og eksempler på, hvilke oplysninger der skal medtages i fortegnelsen, og hvordan en sådan fortegnelse kan se ud.

Herudover giver vejledningen flere konkrete eksempler på blandt andet de forskellige kategorier af personoplysninger og registrerede samt hvilke tekniske og organisatoriske foranstaltninger, der eventuelt kan medtages i fortegnelsen. Det kan eksempelvis være arbejdsbetinget adgang, kryptering af datatransmission og lagring af data, backup, adgang baseret på bruger id og personligt password, brug af VPN og kryptering i forbindelse med fjernarbejdspladser og mobile devices.

> Læs mere om fortegnelseskravet i Datatilsynets nye vejledning