{{title}}
{{body}}
{{tagline}}
{{title}}
{{lockedContentText}}
{{body}}
Gemt
GDPR: Skal man føre fortegnelse over personoplysninger?
Datatilsynet har offentliggjort en vejledning om krav til fortegnelser, når du behandler personoplysninger i virksomheden.
Nyhed
Når EU-persondataforordningen træder i kraft d. 25. maj 2018, skal du som noget nyt føre intern fortegnelse over virksomhedens behandling af personoplysninger.
Fortegnelseskravet erstatter den hidtil gældende anmeldelsesordning, og det er virksomhedens dataansvarlige og databehandlere, der bliver ansvarlige for, at de interne fortegnelser gennemføres.
Formålet med at føre en fortegnelse er at danne overblik over de behandlinger af personoplysninger, som du som dataansvarlig eller databehandler har iværksat i virksomheden. Selvom fortegnelsen skal forstås som en ”intern forpligtelse”, vil den kunne dokumentere, at virksomheden overholder en række forpligtelser i persondataforordningen, f.eks. overvejelser om hvilke personoplysninger, som man kan behandle, håndtering af indsigtsbegæringer og anmeldelser af brud på persondatasikkerheden.
Hvem skal føre fortegnelser?
Er du én af følgende aktører, vil du som udgangspunkt være underlagt kravet om at føre fortegnelser over behandlingsaktiviteter:
- Dataansvarlig
- En repræsentant for den dataansvarlige
- Databehandler
- En repræsentant for databehandleren
Begrebet ”repræsentant” dækker over en fysisk eller juridisk person indenfor EU, som skriftligt er udpeget af den dataansvarlige eller databehandleren, og som repræsenterer disse hvad angår deres forpligtelser i medfør af persondataforordningen.
Hvordan skal fortegnelsen se ud, og hvad skal den indeholde?
Fortegnelser skal foreligge både skriftligt og elektronisk. Du kan derfor ikke alene føre fortegnelsen i et fysisk dokument. Der stilles ikke øvrige krav til fortegnelsens format. Du vil med fordel kunne føre fortegnelsen i et skema eller i et almindeligt tekstbehandlingsdokument.
Indholdet afhænger af, om det drejer sig om en fortegnelse for en dataansvarlig eller for en databehandler. Nederst i artiklen er der tjeklister til, hvad du skal huske at anføre.
Har du brug for yderligere viden om indhold i fortegnelser, kan du læse vejledningens kapitel 3.
Skal jeg sende fortegnelsen til Datatilsynet?
Nej. Der er ikke noget krav om, at virksomheden indberetter fortegnelser til Datatilsynet. Du skal dog have mulighed for at stille dem til rådighed, hvis Datatilsynet efterspørger dem.
Hent en vejledning om fortegnelse her
Få rådgivning af Dansk Erhverv
Husk at du som medlem af Dansk Erhverv kan få rådgivning og hjælp til at overholde de kommende regler for håndtering af data. Vores advokater står klar til at hjælpe.
Dansk Erhverv afholder også kurser i persondataforordningen: Se kurserne her
Indhold til fortegnelser for dataansvarlige
- Den dataansvarliges navn og kontaktoplysninger
- Beskrivelse af formålet med behandlingen af den pågældende persondata
- Kategorier af registrerede (f.eks. medlemmer, nuværende og tidligere ansatte)
- Kategorier af personoplysninger (f.eks. straffeattester, personlighedstests, pensionsforhold)
- Kategorier af modtagere ved videregivelse af personoplysninger (f.eks. offentlige myndigheder, pensionskasser)
- Overførsler af personoplysninger til tredjelande eller internationale organisationer
- Slettefrister – forventede tidsfrister for sletning af persondata
- Beskrivelse af virksomhedens tekniske og organisatoriske foranstaltninger
Indhold til fortegnelser for databehandlere
- Databehandlerens navn og kontaktoplysninger
- Kategorier af behandlinger, som databehandleren foretager på vegne af den dataansvarlige
- Overførsler af personoplysninger til tredjelande eller internationale organisationer
- Beskrivelse af virksomhedens tekniske og organisatoriske foranstaltninger
Kontakt
Handel