Artikel 30-fortegnelse

Fortegnelseskravet betyder, at man som dataansvarlig skal have en dokumentation for behandling af persondata. Fortegnelsen skal være elektronisk.

 

Fortegnelsespligten er en pligt for såvel dataansvarlige som databehandlere  (dog med lidt forskellige krav)

Kravene til de enkelte oplysninger i fortegnelsen fremgår af artikel 30 i forordningen, men man er naturligvis ikke afskåret fra af egen drift at dokumentere flere oplysninger end påkrævet.

Det kan f.eks. være oplysninger om det grundlag, der udgør grundlaget for behandlingen af persondata.

Hvem skal have en fortegnelse

Ikke alle virksomheder er omfattet af kravet om at udarbejde en fortegnelse, da udgangspunktet er, at virksomheden skal beskæftige minimum 250 medarbejdere.
Dog er mindre virksomheder også omfattet af kravet, hvis behandlingen omfatter særlige kategorier (følsomme) oplysninger eller virksomhedens hovedydelse angår personoplysninger.

Datatilsynet har dog medlt ud, at hvis man behandler én medarbejder én kundes persondata så skal der udarbejdes en fortegnelse.

Så kravet gælder så godt som alle.

Fortegnelses er i første omgang et intern værktøj, der kan redegøre for, at man har vurderet risici, sikkerhed og gyldighed i behandling af persondata.

Men fortegnelsen vil også være et krav fra Datatilsynet i forbindelse med en kontrol.

Indhold for dataansvarlige

(Artikel 30, stk. 1)

  • Navn på og kontaktoplysninger for den dataansvarlige, en evt. fælles dataansvarlig, den dataansvarliges repræsentant og databeskyttelsesrådgiveren, hvis I er forpligtet til at udpege en sådan.
  • Behandlingsaktiviteter, der indeholder persondata
  • Formålene med de forskellige behandlingsaktiviteter i virksomheden
  • En beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
  • De kategorier af modtagere, som personoplysningerne er eller vil blive videregivet til, herunder modtagere i tredjelande eller internationale organisationer (leverandører, samarbejdspartnere mv.)
  • Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk.1, andet afsnit, dokumentation for passende garantier
  • Hvis det er muligt de forventede tidsfrister for sletning af de forskellige kategori er af oplysninger
  • Hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i art. 32, stk. 1

Indhold for databehandlere (Artikel 30, stk. 2)

  • Navn på og kontaktoplysninger for databehandleren eller databehandlerne og for hver dataansvarlig, på hvis vegne databehandleren handler, samt, hvis det er relevant, den dataansvarliges eller databehandlerens repræsentant og databeskyttelsesrådgiveren
  • De kategorier af behandling, der foretages på vegne af den enkelte dataansvarlige
  • Hvor det er relevant, overførsler af personoplysninger til et tredjeland eller en international organisation, herunder angivelse af dette tredjeland eller denne internationale organisation og i tilfælde af overførsler i henhold til artikel 49, stk. 1, andet afsnit, dokumentation for passende garantier
  • Hvis det er muligt, en generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger omhandlet i artikel 32, stk. 15.

▷ Relevante links


Var denne information nyttig for dig?

JA  

­