Brug den fortegnelse, du allerede har, til at styre dine GDPR-indsatser bedre

Indsigt
17.02.2025

Du har allerede en fortegnelse over dine behandlingsaktiviteter og opgaver, som løses i din organisation, hvori der indgår personoplysninger, for det er lovpligtigt for alle dataansvarlige. Hvorfor ikke bruge den til at styrke og styre dit generelle arbejde med GDPR? Læs med her, og lær hvordan du gør det.

Kravet om en fortegnelse fremgår af artikel 30 i GDPR, og derfor har du måske også hørt fortegnelsen omtalt som en såkaldt artikel 30-fortegnelse. En behandlingsaktivitet eller opgave, som du skal medtage i fortegnelsen, kan f.eks. være udbetaling af løn, ansættelse af nye medarbejdere og rekruttering, udsendelse af nyhedsbreve til kunder og håndtering af kundedatabaser/CRM.

 

Fortegnelsen skal du altid kunne fremvise til Datatilsynet, hvis de beder om den. Men med nogle få ændringer kan du også gøre den til et grundlæggende arbejdsredskab, der hjælper dig med at få styr på hele dit GDPR-arbejde. I denne artikel guider vi dig til, hvordan du tager din fortegnelse fra et simpelt overbliksark til et konkret værktøj.

 

Udvid fortegnelsen til mere, end hvad loven kræver

Mange ledere ønsker ikke at gøre mere, end hvad de er forpligtet til efter GDPR. Men når det drejer sig om fortegnelsen, så anbefaler vi hos HjulmandKaptain, at du ikke bare laver en minimumsimplementering af reglerne. Nøjes du med at notere, hvad du er forpligtet til efter artikel 30 i GDPR, ender du ofte med et dokument, du ikke kan bruge til ret meget andet end at vise til Datatilsynet.

 

Ved at udvide fortegnelsen med alle de grundlæggende krav, som GDPR stiller til din organisation, kan du i stedet omdanne dokumentet til et overbliksark over, hvor du allerede nu er compliant, og hvor du eventuelt stadig mangler at opfylde kravene, eller hvor der er behov for en indsats. Samtidig kan du bruge fortegnelsen som et årshjul. Den ekstra indsats er derfor godt givet ud på lang sigt.

Hvad er en behandlingsaktivitet, der skal med i din fortegnelse?

En behandlingsaktivitet er en opgave, som du løser på dit arbejde. Det kan f.eks. være administration af personaleforhold eller håndtering af ordrer fra kunder. Hvad det konkret betyder for dig, skal du selv definere, og det vil afhænge af hvilken type organisation, du arbejder ved.

 

I en lille organisation med få ansatte kan en behandlingsaktivitet sagtens være ”administration af personaleforhold”, men i en større organisation bliver det måske for bredt og svært at overskue. Her bør du derfor overveje at dele opgaven op i mindre behandlingsaktiviteter, f.eks. ”rekruttering”, ”udbetaling af løn, diæter, pension mv.”, ”håndtering af ophør af ansættelsesforhold” og så videre. 

 

Du bestemmer selv, hvor mange behandlingsaktiviteter du vil dele virksomhedens opgaver i, men det kan være en god idé at sørge for, at hver behandlingsaktivitet indeholder nogenlunde de samme typer af personoplysninger og har samme konsekvens for den registrerede, hvis der sker et databrud. Ellers kan du nemlig risikere at indføre alt for strenge sikkerhedskrav for oplysninger, der alene kan medføre meget lille konsekvens for den registrerede.

Minimumskrav til din fortegnelse

Det følger af artikel 30 i GDPR, at din fortegnelse som minimum skal indeholde oplysninger om:

 

  • Hvad formålet er med behandlingen af personoplysningerne
  • Hvilke kategorier af personer, du behandler oplysninger om, samt hvilke oplysninger du behandler om dem
  • Hvem du eventuelt videregiver oplysningerne til, herunder om oplysningerne videregives til modtagere i tredjelande (uden for EU)
  • Hvor længe du behandler oplysningerne
  • Hvordan du sikrer, at behandlingssikkerheden er tilstrækkelig.

 

Disse oplysninger kan bruges til at få et indblik i, hvordan og hvorfor der behandles personoplysninger i din organisation – men oplysningerne vil  ikke i sig selv være nok til at få overblik over, om du overholder GDPR. Det kræver, at du svarer på en række yderligere spørgsmål.  

 

Sådan udvider du din fortegnelse, så du kan bruge den til arbejdet med GDPR

Vores første råd til dig er at gennemgå alle de krav, der  gælder i GDPR, og derefter indsætte dem i din fortegnelse for hver af de behandlingsaktiviteter, du har inddelt din fortegnelse efter. Du kan f.eks. indsætte et spørgsmål om, hvorvidt du opfylder oplysningspligten efter artikel 13 og 14. Svarer du nej til dette spørgsmål, så ved du, at du har et GDPR-arbejde, der skal laves. Hvis du svarer ja, så anbefaler vi, at du indsætter et link til oplysningsbrevet eller beskriver, hvordan oplysningspligten er overholder i praksis.

 

Vi oplever nemlig, at det ikke er ualmindeligt, at en organisation faktisk har lavet et GDPR-dokument men blot har fået det lagt et sted, hvor ingen længere kan finde det.

Herefter kan du anvende fortegnelsen som en slags årshjul. Når du (gerne minimum) 1 gang om året gennemgår fortegnelsen, vil du automatisk støde på spørgsmålet om oplysningspligt og huske at kontrollere, om dit oplysningsbrev fortsat er tilstrækkelig.

 

Det kan også være en relevant udvidelse af fortegnelsen at forholde sig til, om de behandlingsaktiviteter, der nu vurderes på, medfører en høj risiko for de registrerede. Det vil nemlig som udgangspunkt medføre et krav om, at der udarbejdes en konsekvensanalyse (DPIA), og på den bruge bruger du også aktivt din fortegnelse til at understøtte, at du får vurderet om og i hvilke tilfælde du skal sikre, at der udarbejdes en konsekvensanalyse.

 

Virker det stadig som en lidt uoverskuelig opgave, eller har I ikke ressourcer nok til at foretage udvidelsen selv? Så kan du også vælge at købe HjulmandKaptains skabelon til en udvidet fortegnelse

 

Det får du ud af at udvide din fortegnelse

Men er udvidelsen det ekstra arbejde værd, tænker du måske? Ja, det mener vi. Når du udvider din fortegnelse, får du nemlig ikke bare muligheden for at bruge den som et årshjul – du får også hjælp til de mange opgaver, som GDPR-kravene stiller til din organisation.

 

En af opgaverne er den oplysningspligt, som fremgår af artikel 13 og artikel 14. For at leve op til kravet om oplysningspligt over de registrerede, skal du give dem en række oplysninger. Alle disse oplysninger vil du kunne hente i din udvidede fortegnelse. Dermed er (den udvidede) fortegnelse også med til at sikre, at du får skrevet dit oplysningsbrev korrekt. Det samme gælder for en lang række af de øvrige GDPR-opgaver.

 

En udvidet fortegnelse er samtidig en stor hjælp, hvis der sker brud på persondatasikkerheden (i daglig tale ofte kaldet ”sikkerhedsbrud”). De medarbejdere, der skal håndtere sikkerhedsbruddet, kan slå op i fortegnelsen og få et overblik over, hvilke oplysninger der eventuelt indgår, hvordan oplysningerne bliver brugt, hvilke IT-systemer der indgår i behandlingen, og om der er indgået databehandleraftaler, samt hvor disse kan findes. Det letter arbejdet betydeligt for dig, når det skal vurderes, om databruddet skal anmeldes til Datatilsynet, og om de registrerede skal underrettes.

 

Lad vores specialister hjælpe dig sikkert i mål med fortegnelsen

Har du spørgsmål til fortegnelse, brug for rådgivning, eller vil du gerne styrke dit arbejde ved at anvende vores skabelon, så er du altid velkommen til at kontakte vores specialister i databeskyttelse.

Kontakt

Mød teamet

Del:

Kontakt vores specialister i databeskyttelse

Vores viden er din styrke

Se flere
Se flere

Tilmeld dig
HjulmandKaptains
nyhedsbrev

Få nyheder, invitationer til arrangementer, gode råd og viden om jura inden for de fagområder, der interesserer dig.

 

Tilmeld nyhedsbrev