DAN

Ny vejledning om fortegnelseskravet i Databeskyttelsesforordningen

Dato

feb 06 2018

Datatilsynet har den 31. januar 2018 offentliggjort en vejledning om fortegnelseskravet i Databeskyttelsesforordningen (GDPR). Vejledningen er den nyeste vejledning om GDPR, der løbende offentliggøres på Datatilsynets hjemmeside.

Det er som udgangspunkt et krav for både dataansvarlige og databehandlere at føre en fortegnelse over deres behandlingsaktiviteter i henhold til Artikel 30 i Databeskyttelsesforordningen. Kravet gælder dog som udgangspunkt kun for virksomheder og organisationer, der beskæftiger mindst 250 personer.

Hvis dine behandlingsaktiviteter omfatter mindst én af nedenstående behandlingsaktiviteter, vil du være forpligtet til at føre en fortegnelse over dine behandlingsaktiviteter, uanset antallet af medarbejdere i din virksomhed eller organisation:

  1. din behandlingsaktivitet sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder,
  2. behandlingen foregår oftere end lejlighedsvist, eller
  3. behandlingen indeholder følsomme personoplysninger eller oplysninger om straffedomme og/eller lovovertrædelser.

Undtagelsen til fortegnelseskravet har et snævert anvendelsesområde

I vejledningen står, at undtagelsen til fortegnelseskravet har et snævert anvendelsesområde, fordi en behandlingsaktivitet typisk foregår oftere end lejlighedsvist.

Et eksempel på en behandling, der typisk ikke er lejlighedsvis, er behandlingen af personoplysninger i forbindelse med personaleadministration. Da stort set alle virksomheder og organisationer behandler deres medarbejderes personoplysninger som led i personaleadministration, har undtagelsen et meget snævert anvendelsesområde.

Fortegnelsens indhold

Vejledningen indeholder beskrivelser og eksempler på, hvilke oplysninger der skal medtages i fortegnelsen, og hvordan en sådan fortegnelse kan se ud.

Herudover giver vejledningen flere konkrete eksempler på blandt andet de forskellige kategorier af personoplysninger og registrerede samt hvilke tekniske og organisatoriske foranstaltninger, der eventuelt kan medtages i fortegnelsen. Det kan eksempelvis være arbejdsbetinget adgang, kryptering af datatransmission og lagring af data, backup, adgang baseret på bruger id og personligt password, brug af VPN og kryptering i forbindelse med fjernarbejdspladser og mobile devices.

> Læs mere om fortegnelseskravet i Datatilsynets nye vejledning

Seneste nyheder

Vis mere
cybersecurity datacenter NIS2

Hvad har cybersikkerhed med offentlige kontrakter at gøre – NIS2 i et udbudsretligt lys

apr 24 2024

Læs mere
Klagenævnet for Udbud blåstempler Region Midtjyllands indkøb af Covid-tests ved udbud med forhandling uden forudgående offentliggørelse

Klagenævnet for Udbud blåstempler Region Midtjyllands indkøb af Covid-tests ved udbud med forhandling uden forudgående offentliggørelse

apr 18 2024

Læs mere
Første EU-sag om ophavsret til AI-genererede billeder

Historisk afgørelse: Første sag i EU om ophavsret til AI-genererede billeder

apr 17 2024

Læs mere
Vis mere

Oversigt

Persondata og databeskyttelse