mail@sonderbylegal.eu
+45 72 10 90 90

Persondataforordningen: Skal din virksomhed føre fortegnelse over personoplysninger?


Når den nye persondataforordning træder i kraft den 25. maj 2018, skærpes kravene til, hvordan virksomheder behandler og beskytter personoplysninger. Som noget nyt stiller forordningen bl.a. krav om, at alle virksomheder, der behandler personoplysninger, fører en intern fortegnelse over virksomhedens behandlingsaktiviteter.

Kravet om at føre en fortegnelse skal ses som en forlængelse af forordningens øgede fokus på ansvarlighed, som bl.a. indebærer, at alle, der behandler personoplysninger, er ansvarlige for, at forordningens regler efterleves og om nødvendigt skal kunne dokumentere dette. Fortegnelseskravet er i udgangspunktet tænkt som en intern forpligtelse, men Datatilsynet kan efter anmodning forlange, at fortegnelsen sendes til dem.

HVEM SKAL UDARBEJDE EN FORTEGNELSE?
I udgangspunktet skal alle, der behandler personoplysninger, udarbejde en fortegnelse. Der er dog en snæver undtagelse i forordningen, som indebærer, at visse virksomheder er undtaget herfra. Man er kun omfattet af undtagelsen, hvis man opfylder samtlige følgende krav:

• Virksomheden har under 250 ansatte,
• behandlingen indebærer alene en lav risiko for den registreredes rettigheder,
• behandlingen er kun lejlighedsvis, og
• behandlingen omfatter alene almindelige personoplysninger og ikke følsomme personoplysninger eller oplysninger om strafbare forhold.

Såfremt man ikke er undtaget fra kravet om fortegnelse, er man altså forpligtet til at udarbejde en fortegnelse over de områder, hvor man behandler personoplysninger.

GENERELLE KRAV TIL FORTEGNELSEN
Fortegnelsen skal indeholde oplysninger om enhver behandlingsaktivitet, både i forhold til behandling af almindelige personoplysninger, følsomme personoplysninger og behandling af oplysninger om strafbare forhold. Der stilles ingen formkrav til fortegnelsen, udover at den skal foreligge både skriftligt og elektronisk.

FORTEGNELSE FOR DATAANSVARLIGE
Fortegnelsen skal som minimum indeholde de oplysninger, som fremgår nedenfor. Der er dog intet til hinder for, at fortegnelsen indeholder flere oplysninger udover disse.

Kontaktoplysninger
Fortegnelsen skal indeholde navn og kontaktoplysninger på den dataansvarlige og eventuelt dennes repræsentant.

Formål
Fortegnelsen skal indeholde en beskrivelse af formålet med behandlingen. Det er muligt at samle flere behandlingsaktiviteter i samme fortegnelse, såfremt det kan formuleres under ét samlet og dækkende formål. Man vil således kunne føre en fortegnelse over forskellige behandlinger, der har samme formål, som f.eks. en fortegnelse vedrørende al personaleadministration, en fortegnelse vedrørende alle kunder m.v.

Kategorier af registrerede og kategorier af oplysninger
Den dataansvarlige skal dels identificere kategorierne af registrerede personer. Det kan f.eks. være forretningsforbindelser, nuværende og tidligere ansøgere eller medlemmer. Dels skal den dataansvarlige identificere kategorierne af oplysninger om de registrerede personer. Man skal som minimum identificere, om der er tale om almindelige eller følsomme personoplysninger og eventuelt oplysninger om strafbare forhold. Såfremt man behandler følsomme personoplysninger, er det ikke tilstrækkeligt at beskrive behandlingen i generelle vendinger. Her er man nødt til også at specificere, hvilke oplysninger man behandler.

Kategorier af modtagere ved videregivelse
Hvis man videregiver nogle af personoplysningerne til andre, skal fortegnelsen indeholde oplysninger om kategorierne af modtagere. Det kan f.eks. være til offentlige myndigheder eller ansattes pensionsselskab. Hvis oplysningerne videregives til lande uden for EU, skal det ligeledes fremgå af fortegnelsen.

Slettefrister
I det omfang det er muligt, skal man i fortegnelsen oplyse om de forventede slettefrister for oplysningerne. Det kan f.eks. være, at ansøgninger, som virksomheden modtager, slettes efter 6 måneder. I denne sammenhæng er det vigtigt at være opmærksom på, at forordningen stiller krav om, at man ikke opbevarer oplysningerne længere, end hvad der er nødvendigt af hensyn til behandlingens formål.

Tekniske og organisatoriske foranstaltninger
I det omfang det er muligt, skal fortegnelsen indeholde en generel beskrivelse af de sikkerhedsforanstaltninger, som virksomheden har indført, f.eks. arbejdsbetinget adgang, krav til adgangskoders kompleksitet eller sikkerhedsforanstaltninger på servere i form af virus- og spywareprogrammer.

FORTEGNELSE FOR DATABEHANDLERE
Databehandlerens fortegnelser skal ligesom fortegnelsen for dataansvarlige indeholde kontaktoplysninger, oplysninger om overførsel til lande uden for EU og oplysninger om, hvilke sikkerhedsforanstaltninger virksomheden har indført. Fortegnelsen skal derimod ikke indeholde oplysninger om kategorierne af registrerede personer eller oplysninger om registrerede personer, men alene oplysninger om kategorierne af behandlinger, f.eks. udarbejdelse af brugerundersøgelser.

VEJLEDNING OM FORTEGENLSE OVER BEHANDLINGSAKTIVITETER
I januar 2018 har Datatilsynet i samarbejde med en række offentlige myndigheder udstedt en vejledning om fortegnelse over behandlingsaktiviteter. Vejledningen indeholder bl.a. et eksempel på, hvordan en fortegnelse kan se ud. Du kan læse hele vejledningen her.

Kontakt gerne vores EU-rets specialister, såfremt din virksomhed har spørgsmål eller brug for rådgivning og hjælp til at opfylde reglerne i forordningen inden den 25. maj 2018.

"Det er afgørende for os, at der er kvalitet i alt, hvad vi foretager os"

Kontakt os

 

København K

Amaliegade 12
1256 København K
Parkeringsvejledning

AARHUS

Havnegade 4
8000 Aarhus C
Parkeringsvejledning

RANDERS

Tronholmen 3
8960 Randers SØ
Parkeringsvejledning


Telefon: +
45 7210 9090
Email:
mail@sonderbylegal.eu

Kontonr.:
6186 0011301118
IBAN:
DK2261860011301118
SWIFT:
KRONDK22


×

Menu

Ring til os

Skriv til os

Kontakt os

Har du brug for hjælp kan du kontakte os gennem kontaktformularen eller ringe 72 10 90 90 Vi kan hjælpe med følgende