Indhold

Fortegnelse over behandlingsaktiviteter

Den dataansvarlige og databehandlere har pligt (et lovgivningsmæssigt krav) til at udarbejde en fortegnelse over alle de aktiviteter i virksomheden, som indebærer behandling af persondata. En sådan fortegnelse giver dig et godt overblik over virksomhedens behandlingsaktiviteter. Samtidig er den med til at danne grundlag for at kunne dokumentere de behandlingsaktiviteter der forekommer i virksomheden, hvis Datatilsynet melder sin ankomst. (Artikel 30 fortegnelse eller fortegnelse over behandlingsaktiviteter).

Fortegnelsen skal opbevares internt i virksomheden og skal foreligge elektronisk.

Du skal lave en fortegnelse uanset hvilke oplysninger, du behandler - både almindelige personoplysninger og følsomme personoplysninger. Helt konkret skal du i gang med at overveje alle forretningsprocesser, hvor behandling af persondata indgår. Når alle processer er oprettet, vil du have den lovpligtige fortegnelse over behandlingsaktiviteter.

OBS. Når du arbejder med fortegnelse over behandlingsaktiviteter, vil du under dit arbejde støde på processer hvor du tænker at det her kan gøres bedre eller her skal strammes op for at gøre behandlingen mere sikkert. Så husk at lave en note om det, da du skal arbejde med risikovurderinger senere (kapitel 3 risikovurderinger).

I kortlægningen oprettes samtlige processer i virksomheden, hvori behandling af persondata indgår (f.eks. ansættelser, sende pakker til kunder eller nyhedsbreve). Kort fortalt skal man kortlægge brugen eller behandlingen af persondata og datas rejser gennem og måske ud af virksomheden.

Et godt tip der gør processen nemmere

En praktisk måde at gribe det an på, er ved at tænke i scenarier, dvs. alle de situationer, som man kan komme i tanke om, hvor persondata kommer ind i virksomheden. Fx en kunde har afgivet en ordre og udleveret sine oplysninger , hvad skal der ske med disse oplysninger? Et andet eksempel kan være at der har været en ansøger forbi og afleveret et CV i receptionen. Disse situationer involverer en proces, og det er disse processer, som skal kortlægges én for én.

Kortlægningen danner grundlag for den lovpligtige fortegnelse over behandlingsaktiviteter, samt danner en liste over IT-systemer og databehandlere.

Behandlingsaktiviteter kan defineres som:

  • indsamling af data
  • systematisering af data
  • opbevaring af data
  • ændring af data
  • søgning i data
  • anvendelse af data
  • videregivelse af data
  • overladelse af data
  • samkøring af data
  • sletning af data

Det kan godt virke som en stor mundfuld, men opfat kortlægningen som et godt hjælpemiddel til at opnå og bevare overblikket over din brug af personoplysninger i virksomheden.

Det står dig frit, hvordan du vil løse opgaven og hvilket elektronisk program, du vil benytte fx Microsoft Office. Der er heller ingen krav til selve udformningen af dokumentet. Du kan anvende fx et skema eller en liste.

For at skabe et overblik over processerne, lægger du ud med at dele din fortegnelse op i 3 faser - vi vil i dette kapitel bruge HR som eksempel.

GDPR-fortegnelsen i opstartsfasen

  1. Først opdeler du virksomheden i afdelinger fx Personale og HR, Salg, Marketing, IT, Økonomi og administration, Indkøb, Jura, Produktion.
  2. Så ser du på hvilke processer afdelingerne benytter sig af, hvori der indgår persondata. HR-afdelingen har fx følgende processer; rekruttering, , ansættelse, fastholdelse og udvikling af medarbejdere, lønsamtaler samt afvikling af medarbejdere.
  3. Derefter går du dybere ind i hver proces. Under fx ’ansættelse af medarbejdere’ kan der forekomme følgende personoplysninger; foto af ansatte, modtagelse af ansøgninger og CV - enten gennem rekrutteringsbureauer, via digitale ansøgningsformularer eller ved personlig aflevering - intern deling og kommunikation, involverede personer i ansættelsen, personprofiler, skriftlige noter mm.

Er du ansat i en større virksomhed, er det oplagt at få hjælp fra de nævnte afdelinger, da medarbejderne her sidder med det daglige arbejde og nemmere kan oplyse, hvilke processer afdelingen benytter sig af.

GDPR-fortegnelse skal indeholde

Herunder har jeg listet de 8 punkter, som din fortegnelse skal indeholde. HUSK under punkt 2 at du kan samle flere behandlingsaktiviteter i en enkelt fortegnelse - under fx personaleadministration kan der være flere behandlingsaktiviteter i samme fortegnelse.

Eksempel: Behandler du personoplysninger i forbindelse med medarbejderes barsel, ferie og lønudbetaling i din virksomhed kan de samles og beskrives under betegnelsen ’personaleadministration’.

8 punkter din GDPR-fortegnelse skal indeholde:

1. Kontaktoplysninger på dataansvarlig eller repræsentant for dataansvarlig samt afdeling

Den lovpligtige fortegnelse skal indeholde navnet på den dataansvarlige virksomhed og kontaktoplysninger. Dvs. din virksomheds navn og kontaktoplysninger skal angives på fortegnelsen, fx i sidehovedet. Hvis du er en virksomhed der leverer IT hosting og derfor er databehandler på nogle af de processere der er angivet i fortegnelsen, så skal du angive virksomhedsnavne og kontaktoplysninger på de kunder du behandler data for. Såfremt din virksomheden har udpeget en DPO eller en repræsentant skal dennes navn og kontaktoplysninger også angives herpå.

2. Formålet med behandlingsaktiviteten

Samtlige formål med behandlingsaktiviteten skal fremgå af fortegnelsen. Beskriv kort hvad formålet med processen er - hvorfor du gør, det du gør og hvad formålet er fx salg af ydelse/produkt, kundesupport eller ansættelse af medarbejder. Så ved indhentelse af en ansøgninger er formålet af ansætte en medarbejder.

Herunder ser du eksempler på en række arbejdsprocesser, hvor behandling af personoplysninger kan indgå. Vær opmærksom på, at personoplysninger defineres som alle oplysninger, der kan identificere et individ. Derfor skal arbejdsprocesser, hvor der fx blot behandles et navn på et individ, også kortlægges. Listen vil selvfølgelig afhænge af hvilken type af virksomhed du har.

Behandling af ansøgere, registreringer af medarbejdere i lønsystem, , billeder på nettet af ansatte, , dokumentation af MUS-samtaler, dokumentation af APV, registreringer af kunder, data indsamlet via cookies, registrering af bestyrelsesmedlemmer, kontaktoplysninger på forretningsforbindelser, mfl.

I visse tilfælde vil du kunne samle flere behandlingsaktiviteter i én fortegnelse. Dette forudsætter, at de behandlingsaktiviteter du ønsker at samle kan formuleres under ét samlet, logisk og sammenhængende formål. Det vil navnlig kunne være relevant for ”delformål”, som har en indbyrdes sammenhæng, f.eks. fordi der er tale om den samme opgave eller det samme lovlige grundlag for behandlingerne.

Det betyder, at en privat dataansvarlig vil kunne føre fortegnelse over forskellige behandlinger med samme formål, såsom f.eks. en fortegnelse for personaleadministration, en fortegnelse vedrørende kunder, en fortegnelse for whistleblowerordning, mv.

Det er en fordel at opdele sine kortlægninger i underkategorier: Du kan fx have en underkategori der hedder ’Medarbejdere og HR’. I hver underkategori skal du tænke over hver arbejdsproces; efter vurdering kan de med fordel slåes sammen i samme proces fx

Medarbejdere og HR

  • Rekruttering
  • Ansættelse
  • Fastholdelse og udvikling af medarbejder
  • Løn samtale
  • Afvikling af medarbejder

3. Kategorier af registrerede

I fortegnelsen skal det også angives hvilken kategori af registrerede oplysningerne behandles på. F.eks.: Medarbejdere, kunder, leverandører, samarbejdspartnere, patienter, pårørende, afdøde, børn, klienter, medlemmer, ansøgere.

4. Kategorier af personoplysninger

Her skal du anføre, om du behandler almindelige personoplysninger (artikel 6), særlige kategorier af personoplysninger (artikel 9) eller oplysninger om strafbare forhold (artikel 10)

Særlige kategorier af personoplysninger, defineres på udtømmende vis og omfattet er behandling af personoplysninger om:

Race eller etnisk oprindelse, Politisk, religiøs eller filosofisk overbevisning, Fagforeningsmæssigt tilhørsforhold, Genetiske data, Biometriske data med henblik på entydigt at identificere en fysisk person, Helbredsoplysninger, Seksuelle forhold eller seksuel orientering.

Du kan samtidigt angive hvilke oplysninger du behandler fx lønoplysninger, kontaktoplysninger, personnummer mv.

5. Kategorier af modtagere ved videregivelse

Når du enten videregiver eller vil videregive personoplysninger, skal fortegnelsen indeholde oplysninger om kategorien af modtagere. Hvis personoplysninger videregives til en international organisation, eller hvis modtageren befinder sig i et tredjeland, skal dette også skulle fremgå af fortegnelsen.

Du skal med andre ord kunne kortlægge, om der sker eller vil ske, en videregivelse af personoplysninger, og i givet fald angive, hvem modtagerne er.

Kun de overførsler, der er regelmæssige, skal anføres i fortegnelsen. Det betyder blandt andet, at overførsler mellem myndigheder skal nævnes, hvis de sker på regelmæssig basis.

Eksempler på kategorier af modtagere oplysninger kan videregives til:

(Andre) offentlige myndigheder, f.eks. SKAT, PBS med henblik på betalingsformidling, Pensionskasser, Andre elever/forældre, Skolefotofirma.

6. Overførsler til tredjelande og internationale organisationer

Hvor det er relevant, skal du i fortegnelsen oplyse om overførsler af personoplysninger til et tredjeland eller en international organisation. Hvis sådanne overførsler foretages, skal du vedlægge dokumentation for de passende garantier. Det betyder, at du som dataansvarlig skal gøre dig klart, om der vil ske overførsel af personoplysninger til tredjelande eller internationale organisationer. I bekræftende fald, skal du angive disse modtagere i fortegnelsen.

Kravet om at du skal vedlægge dokumentation for passende garantier er ikke en nyskabelse. Ifølge persondatalovens regler var det en forudsætning for anvendelsen af det tilsvarende hjemmelsgrundlag til tredjelandsoverførsler, at Datatilsynets tilladelse blev indhentet. For at opnå denne tilladelse skulle den dataansvarlige kunne dokumentere eksistensen af ’passende garantier’.

Læs mere om begreberne ”tredjeland” og ”international organisation”

Forordningen fører med andre ord blot til, at du nu udtrykkeligt skal føre en fortegnelse over disse i forvejen definerede passende garantier.

7. Slettefrister

Beskriv hvornår personoplysninger i en arbejdsproces slettes fx hver måned, hver uge, når en medarbejder siger op, når kontrakten udløber, automatisk efter x antal dage etc. Ifølge loven skal personoplysninger slettes, så snart der ikke er et lovligt formål med at beholde dem - dvs. når de går fra at være need-to-have til nice-to-have.

  • Du må opbevare persondata så længe, du har et lovligt grundlagdvs., har fået lov til det fx med samtykke, (du har fået lov af personen) eller fordi det står i loven (du skal for at overholde lovgivningen eller det er nødvendigt for at fx overholde en kontrakt).
  • Du har et "legitimt formål" med opbevaringen (din interesse vægter tungere end personens interesse i at oplysningerne bliver slettet). Her skal du være sikker i din dokumentation til Datatilsynet.

Spørgsmål og svar om slettefrister

Hvor længe må jeg opbevare persondata?

Tænk over ikke at opbevare unødvendige data – det gælder uanset hvilke oplysninger der indeholder. Det kan være i dit CRM-system, hvor der findes oplysninger på tidligere kunder, et arkiv af gamle jobansøgninger, data på tidligere ansatte, oplysninger om tidligere ordrer mv.

Data der ikke har et klart formål skal slettes og makuleres. Fremadrettet skal du huske, at data kun må indsamles, hvis det har et klart formål, og efterfølgende skal slettes, når dette formål ophører.

Hvor længe må jeg opbevare persondata på medarbejdere og fratrådte medarbejdere?

Så længe medarbejderen arbejder i virksomheden, er der en saglig baggrund for at gemme data. Der er ikke noget krav om, at du sletter oplysninger om medarbejdere, når de forlader virksomheden. På baggrund af den hidtidige praksis fra Datatilsynet må du som udgangspunkt gemme data om fratrådte medarbejdere i op til fem år.

Har du en sag kørende om for eksempel erstatning, bortvisning eller opsigelse, må oplysninger dog gemmes, indtil sagen er afsluttet.

Vedr. løndokumentation kan man fx vælge at lægge sig op ad regnskabslovgivningen, hvor man skal have dokumentation i 5 år.

Hvor længe må jeg opbevare opfordrede ansøgninger?

Uinteressante ansøgninger slettes straks. Giver du et afslag men ønsker at gemme ansøgningen, skal du indhente samtykke fra ansøger for at gemme ansøgningen, og ansøgningen gemmes maksimalt 6 måneder. Efter 6 måneder er sandsynligheden for at ansøgeren er ledig meget lav og du har derfor ikke et legitim formål med at beholde ansøgningen.

Hvor længe må jeg opbevare uopfordrede ansøgninger?

Modtager du en uopfordret ansøgning, som du ønsker at gemme, skal du meddele ansøger hvor længe den bliver opbevaret (max. 6 måneder) og til hvilket formål. Det kan nemt gøres ved at linke til en politik på din virksomheds hjemmeside, som kan indeholde en generel information om, hvordan virksomheden håndterer uopfordrede ansøgninger. Efter 6 måneder er sandsynligheden for at ansøgeren er ledig meget lav og du har derfor ikke et legitim formål med at beholde ansøgningen.

8. Eventuelle tekniske og organisatoriske foranstaltninger

Hvis muligt skal fortegnelsen indeholde en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger. Lovgivningens krav om, at sådanne oplysninger indgår i fortegnelsen, skal ses i lyset af, at du som dataansvarlig i medfør af artikel 32 skal gennemføre en passende sikkerhed for behandlingen af personoplysninger. Hertil kommer, at du skal kunne påvise, at du rent faktisk efterlever disse krav. Vi anbefaler at virksomhedens it-sikkerhedspolitik vedlægge fortegnelsen hvis den efterspørges af Datatilsynet, da generelle it-sikkerhedsforanstaltninger typisk dækker over størstedelen af virksomhedens persondata behandlingsaktiviteter.

Herunder er eksempler på foranstaltninger fra Datatilsynets hjemmeside - lad være med at panikke over fagudtrykkene og de svære termer.

Tekniske foranstaltninger

  • Arbejdsbetinget adgang (tænk over hvem der har adgang til data)
  • Al datatransmission og lagring af data sker krypteret (adgangskoder på udstyr) eller opbevares i et aflåst skab.
  • Kun de X personer, der aktuelt er sikkerhedsgodkendt i henhold til sikkerhedscirkulæret XXXX, har adgang til de elektronisk registrerede oplysninger
  • De elektronisk registrerede oplysninger er lagret på en server, hvorpå der er installeret aktive virusscannere med henblik på løbende automatisk viruscheck mv. (tjek med dit hosting-firma)
  • Der er etableret backup og genetableringsprocedure for alle servere (tjek med dit hosting-firma)
  • Der er alene adgang til arbejdsstationer med individuelt brugernavn og password (informere dine medarbejdere)
  • Arbejdsstationer har screensaver-password, og der er installeret antivirusprogram
  • Adgang er baseret på bruger-id og et personligt password, der er minimum X antal

tegn (informere dine medarbejdere)

  • Der foretages kontrol med afviste adgangsforsøg
  • Der bruges VPN og kryptering i forbindelse med fjernarbejdspladser og andre mobile devices.

Organisatoriske foranstaltninger

  • Medarbejdertræning og videreuddannelse (retningslinjer - gerne i en personalehåndbog, daglige rutiner, information, opfølgning)
  • Certificering af medarbejdere, der arbejder med persondata
  • Etablering af procedurer og politikker for behandling og kommunikation af personoplysninger (retningslinjer - gerne i en personalehåndbog, rutiner, information, opfølgning)

To tips når du er i gang med din kortlægning

Det er en fordel for dig at du taster ind hvilke systemer og databaser du anvender til at behandle personoplysninger i hver enkelt arbejdsproces det kan være Outlook, CRM-system, SharePoint etc. Samt hvor du gemmer personoplysninger (udover systemer og databaser), det kan være fælles mappe på drev, i et fysisk ringbind, lokalt på din PC, USB-stik etc.Udover det, er en rubrik hvor du kommer med forslag til, hvad der kan ændres for at optimere i arbejdsprocessen, forslag til sletterutine etc. en rigtig god ide, du sparer tid senere hen og har alle oplysninger samlet under en proces.

Husk på at mange af reglerne i EU-persondataforordningen ikke er nye. Derfor kan du allerede have dele af forordningen implementeret.

Læs mere om fortegnelsen og se eksempler herop på Datatilsynets hjemmeside:

https://www.danskerhverv.dk/siteassets/mediafolder/downloads/varktojer/persondata-vejledninger/vejledning-om-fortegnelse.pdf

https://www.datatilsynet.dk/media/6567/fortegnelse.pdf

PersondataSupport ApS

Sverigesvej 10
DK-8700 Horsens

CVR-nr. 38582356

PDS Norge as

Fyrstikalléen 3A
NO-0661 Oslo

Org-nr. 916517572

Kontakt - NO

(+47) 922 92 400