Datatilsynets opdaterede vejledning om fortegnelse – Hvad betyder det for din virksomhed?

25. september 2020

Lene Gram Skjoldager

Databeskyttelsesforordningens overordnede krav om ansvarlighed og dokumentation ligger godt i tråd med Datatilsynets opdaterede vejledning om fortegnelse.

I Datatilsynets tidligere vejledning var det helt generelt i behandlingsaktiviteten, at kategorier af registrerede personer, kategorier af registrerede oplysninger, og modtagere af registrerede oplysninger blev dokumenteret.

I den opdaterede vejledning, præciserer Datatilsynet fortegnelsens detaljegrad, således at:

  • en fortegnelse skal indeholde en klar kobling mellem hvilke kategorier af personoplysninger, der behandles om de enkelte kategorier af registrerede.
  • der ved videregivelse af personoplysninger i forbindelse med en behandlingsaktivitet skal være information i fortegnelsen om, hvilke kategorier af personoplysninger der videregives, ligesom det skal fremgå, hvilke kategorier af registrerede de pågældende oplysninger vedrører.

Illustration af kravet til fortegnelser før og efter Datatilsynets opdaterede vejledning.
Illustration af kravet til fortegnelser før og efter den opdaterede vejledning. Kilde: Wired Relations

Hvorfor er det nødvendigt med så detaljeret en fortegnelse?

Den røde tråd i databeskyttelsesforordningen er som nævnt ansvarlighed, og den dataansvarlige virksomhed (i nogle tilfælde også den databehandlende virksomhed) har ansvaret for, at personoplysninger behandles i overensstemmelse med lovgivningen.

Virksomheden har ligeledes et ansvar for at kunne dokumentere, at principperne for behandling af personoplysninger overholdes. 

Fortegnelsen er en hjælp til at kunne dokumentere, at man som virksomhed behandler personoplysninger ansvarligt. En detaljeret fortegnelse bidrager således til, at du får du et hurtigt overblik over de behandlinger af personoplysninger, du foretager. Du vil dermed hurtigt kunne demonstrere, at din virksomhed overholder principperne for behandling af personoplysninger – både over for Datatilsynet og den registrerede.

Skal min virksomhed opdatere vores fortegnelse?

Det helt korte svar er: Ja. Hvis I som de fleste andre virksomheder har fulgt Datatilsynets tidligere vejledning omkring førelse af fortegnelser, bør I genbesøge jeres fortegnelser. 

Bruger du et værktøj, som allerede arbejder mere detaljeret, vil det sandsynligvis ikke være nødvendigt at genbesøge dine fortegnelser førend normalt planlagt.

Detaljegraden i fortegnelsen over behandlingsaktiviteter har altid været en integreret del af Wired Relations, og derfor skal du som kunde hos os ikke foretage dig noget, hvis du anvender vores standard fortegnelse. 

Er du nysgerrig på, hvordan du let kan efterleve Datatilsynets seneste vejledning, så hent vores eksempel på en fortegnelse over behandlingsaktiviteter.

 

Få tilsendt et PDF-eksemplar af en best practice fortegnelse over behandlingsaktiviteter

En fra teamet rækker ud til dig snarest muligt

Lene Gram Skjoldager

Lene er uddannet jurist og Senior Compliance Manager i Wired Relations.

Tidligere har Lene besiddet stillinger som Security & Compliance Officer i KMD og Databeskyttelsesrådgiver (DPO) i Forsvarsministeriets Ejendomsstyrelse.

Foruden sin erfaring i og interesse for persondata, GDPR og IT-sikkerhed, er Lene også en erfaren underviser i implementering af GDPR.

Følg Lene Gram Skjoldager på Linkedin

Du er måske også interesseret i