Hvad er det? Artikel 30 fortegnelsen | GDPR
Fortegnelsen er en kortlægning af behandlingsaktiviteter, som alle virksomheder skal have.
Introduktion
Har du stødt på begrebet artikel 30 fortegnelse før? Måske ved du allerede, at det relaterer sig til GDPR, men er du usikker på de specifikke detaljer, såsom hvad det præcist indebærer, hvordan du opretter en sådan fortegnelse, og hvordan den kan være til nytte for dig? Denne artikel er designet til at guide dig igennem disse spørgsmål.
Vi vil dykke ned i detaljerne om artikel 30 fortegnelsen, fokuserende på deres indhold og relevante anvendelsestidspunkter. For at gøre informationen så tilgængelig som muligt, vil artiklen inkludere en række praktiske eksempler.
I artiklens afslutning vil jeg dele personlige anbefalinger til best practices for at oprette og vedligeholde en fortegnelse effektivt. Med disse råd kan du sikre en solid start, når du skal udarbejde din virksomheds artikel 30 fortegnelse.
Hvad betyder Artikel 30 fortegnelse?
Din Artikel 30 fortegnelse er en rapport, der giver et overblik over, hvordan persondata behandles i din virksomhed. På engelsk er betegnelsen for denne fortegnelse "Record of Processing Activities", hvilket direkte oversættes til "fortegnelse over behandlingsaktiviteter".
En behandlingsaktivitet refererer til en detaljeret beskrivelse af, hvordan persondata behandles i virksomheden. Et eksempel kunne være din lønudbetalingsproces, hvor du dokumenterer, hvem der behandles data på, med hvilket formål og hvilke persondata der bliver behandlet. Du noterer også, hvilke andre parter persondata deles med, såsom en databehandler, der i dette tilfælde kunne være leverandøren af dit lønsystem eller en ekstern bogholder.
Artikel 30 i GDPR forordningen opregner, hvilke oplysninger fra dine behandlingsaktiviteter du skal inkludere i en fortegnelse. Det er herfra, betegnelsen Artikel 30 fortegnelse stammer. Fortegnelsen bliver således en rapport, der tilbyder et overblik over alle processerne, hvor persondata behandles, inklusive de relevante oplysninger, som Artikel 30 foreskriver skal være med.
Læs også: Sådan implementerer du GDPR i 10 lette step
Du bør sikre, at din fortegnelse inkluderer følgende punkter:
-
Navn og kontaktoplysninger på den dataansvarlige, dvs. din virksomhed, som er ansvarlig for behandlingen af personoplysningerne.
-
Formålene med dine data behandlinger.
-
En beskrivelse af, hvem der behandles data på (kategorier af registrerede) og hvilke persondata der behandles på disse personer (persondatakategorier).
-
Modtagere, som persondata sendes til, dette kan være databehandlere eller andre dataansvarlige.
-
Geografisk placering af modtagerne, dvs. om overførslen sker til andre EU-lande, sikre tredjelande, eller usikre tredjelande.
-
Slettefrister for, hvor lang tid du opbevarer persondata på den registrerede.
-
Tekniske og organisatoriske sikkerhedsforanstaltninger.
Din fortegnelse skal indeholde disse oplysninger. Der er ikke et specifikt krav til formatet, men det er vigtigt, at fortegnelsen er overskuelig og let at forstå. Det kunne for eksempel være organiseret i en tabel, hvor de relevante oplysninger er anført i hver deres kolonne, og dine behandlingsaktiviteter er listet i rækker.
Hvad er en artikel 30 fortegnelse brugt til?
En artikel 30 fortegnelses overordnede formål er at tilbyde et overblik. Det bør være nemt og hurtigt at læse en fortegnelse og skabe sig et overblik over, hvordan persondata behandles, og om der findes mangler. Din fortegnelse bliver derfor grundlaget for meget af dit videre GDPR-arbejde.
Dit GDPR-arbejde kan ikke reduceres til kun at omfatte en fortegnelse, men den udgør en væsentlig del af din dokumentation. Det er for eksempel fra fortegnelsen, du kan dykke dybere ned i dokumentationen. Derfra er det fordelagtigt at vurdere, hvad dit retsgrundlag for behandling er, og om du har indgået databehandleraftaler med alle relevante databehandlere osv.
Ved at have en solid artikel 30 fortegnelse gør du dit videre GDPR-arbejde meget lettere for dig selv. Fortegnelsen er din base, som du kan bygge videre på. Den bruges også i udarbejdelsen af din privatlivspolitik og risikovurderinger, som er centrale elementer i en effektiv GDPR-complianceproces.
Informationer fra din artikel 30 fortegnelse indgår i både din privatlivspolitik og dine risikovurderinger af den registrerede. På den måde bliver arbejdet i denne forbindelse lettere, da du kan hente mange af oplysningerne direkte fra dine dokumenterede behandlingsaktiviteter.
Læs også: Hvad er en risikomatrix og hvordan kan jeg bruge den til mine risikovurderinger?
Artikel 30 fortegnelsen er også et lovpligtigt dokument, som du skal kunne præsentere ved for eksempel et inspektionsbesøg fra Datatilsynet. Derfor skal du også kunne eksportere og udlevere den i et format, der er læsbart og forståeligt for tredjeparter (artikel 30, stk. 4).
Hvem skal bruge en artikel 30 fortegnelse?
Der findes to scenarier, hvor en artikel 30 fortegnelse er nødvendig. Det første gælder for alle virksomheder, mens det andet specifikt vedrører virksomheder, der fungerer som databehandlere for andre dataansvarlige virksomheder. I de tidligere afsnit beskrev jeg en artikel 30.1 fortegnelse, der omhandler den dataansvarlige. Hvis du også fungerer som databehandler, er det vigtigt, at du ligeledes fokuserer på artikel 30.2 fortegnelsen for databehandlere.
Som Dataansvarlig
Hvis du er en virksomhed, der behandler persondata om medarbejdere og/eller kunder, er du påkrævet at have en artikel 30.1 fortegnelse. Alle virksomheder skal oprette denne fortegnelse, og da næsten alle virksomheder hører under denne kategori, vil du sandsynligvis også skulle gøre det.
Et eksempel kunne være, at du opbevarer oplysninger om dine medarbejdere, for eksempel gennem ansættelseskontrakter. Disse kontrakter indeholder persondata, da de blandt andet inkluderer medarbejderens navn. Denne proces skal derfor inkluderes i din fortegnelse. Når det kommer til fortegnelser, skelnes der ikke mellem, om du som dataansvarlig behandler generelle personoplysninger (som kontaktinformation) eller følsomme personoplysninger (som helbredsoplysninger); begge dele skal registreres i din fortegnelse.
Som en dataansvarlig virksomhed skal du altså altid oprette en artikel 30.1 fortegnelse.
Som Databehandler
En artikel 30.2 fortegnelse skal kun udarbejdes af virksomheder, der agerer som databehandlere. For eksempel, hvis du er en IT-leverandør, der tilbyder IT-systemer til dine kunder, behandler du persondata på deres vegne og har indgået databehandleraftaler med dem. I sådanne tilfælde skal du oprette en artikel 30.2 fortegnelse, adskilt fra din artikel 30.1 fortegnelse. Denne fortegnelse skal indeholde oplysninger om:
- Navn og kontaktoplysninger på databehandleren (dig).
- De kategorier af persondata, du behandler på vegne af den dataansvarlige (kunden).
- Hvorvidt disse data overføres til et tredjeland, for eksempel USA.
- En beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.
Du skal kunne udarbejde en sådan fortegnelse for hver eneste kunde, du behandler data for. Derfor er det vigtigt, at du sikrer en klar inddeling af fortegnelsen mellem dine kunder, med tydelig angivelse af, hvilke behandlingsaktiviteter du udfører på vegne af hver enkelt kunde.
Artikel 30 fortegnelse og GDPR compliance
Som nævnt tidligere udgør din artikel 30 fortegnelse en væsentlig del af dit arbejde med GDPR compliance. Du kan ikke opnå GDPR compliance uden at have din artikel 30 fortegnelse på plads. Desuden er det vigtigt, at din fortegnelse løbende opdateres i forbindelse med:
- Ændringer i din virksomhed og dine processer: Indfører I en ny proces, der involverer behandling af persondata? Denne proces skal registreres i din fortegnelse. Hvis der sker ændringer i eksisterende processer, skal de berørte behandlingsaktiviteter naturligvis også opdateres, så de afspejler virkeligheden. Derfor skal fortegnelsen regelmæssigt valideres og opdateres, baseret på ændringer i din virksomhed.
- Lovmæssige ændringer: Hvis der sker ændringer i GDPR-lovgivningen, der påvirker din artikel 30 fortegnelse, skal du implementere disse ændringer i dine behandlingsrutiner og derefter opdatere din fortegnelse, så den afspejler disse ændringer. Det kunne være, at en slettefrist, du har angivet, ikke længere anses for at være tilstrækkelig. I så fald skal du ændre dine procedurer og derefter opdatere fortegnelsen, så den afspejler de nye forhold.
At være GDPR compliant betyder ikke "bare" at have en fortegnelse. Det er essentielt, at det, du dokumenterer i din fortegnelse, også bliver efterlevet i praksis. Hvis du lister en række sikkerhedsforanstaltninger, skal du sikre dig, at disse foranstaltninger rent faktisk er implementeret i virksomheden. Ellers er fortegnelsen kun et stykke papir. Du opnår først fuld compliance, når du både dokumenterer og implementerer det dokumenterede i din virksomhed.
Hvad er fordelene ved en artikel 30 fortegnelse?
Der er mange fordele ved at have en artikel 30 fortegnelse. Den kan for eksempel udgøre grundlaget for dit videre GDPR arbejde, som tidligere nævnt. En anden fordel er, at en veludarbejdet artikel 30 fortegnelse tjener som et klart bevis på, at du har styr på dine data.
En opdateret fortegnelse, der indeholder alle nødvendige oplysninger og som kan fremlægges hurtigt, viser tydeligt, at du er compliant. Omvendt, hvis det tager lang tid at samle fortegnelsen, kan det vække mistanke om, at der også er andre områder i virksomheden, der mangler kontrol.
Du kan for eksempel blive bedt om at vise din fortegnelse under et tilsynsbesøg. I sådanne tilfælde er det en åbenlys fordel, hvis du hurtigt kan demonstrere, at du har den nødvendige dokumentation på plads. Det er ikke usandsynligt, at fortegnelsen vil være det første, tilsynet ønsker at se.
En opdateret og velorganiseret artikel 30 fortegnelse kan også være af interesse for andre tredjeparter, såsom i forbindelse med revisionserklæringer eller et virksomhedssalg. Her vil en potentiel interesse i at se bevis for dit GDPR-arbejde være til stede, og en velholdt fortegnelse vil klart indikere, at du har orden i sagerne.
Hvad er “best practices” for at lave og vedligeholde en artikel 30 fortegnelse?
Ifølge artikel 30, stk. 3, er det et krav, at du som dataansvarlig skal kunne fremvise din artikel 30.1 og artikel 30.2 fortegnelse i elektronisk format. Derfor er det første punkt på listen over ”best practices” naturligvis, at du opbevarer din artikel 30 fortegnelse elektronisk.
Dette kan være i et Excel-ark, et Word-dokument eller på en platform designet specifikt til at dokumentere og opretholde fortegnelser.
Læs også: Hvad er forskellen på at lave GDPR dokumentation i Excel og i GDPR software?
Næste skridt er at gøre den både overskuelig og ”personlig”. Udarbejd en fortegnelse, der afspejler din virksomhed og de processer, det giver mening at beskrive for netop din virksomhed. Dette vil sandsynligvis også resultere i den mest tilgængelige fortegnelse. På denne måde kan du også kommunikere mere klart med kolleger, idet fokus i højere grad vil være på arbejdsprocesserne end på GDPR i sig selv.
Det er vigtigt løbende at opdatere din fortegnelse. Det ville være uheldigt at bruge meget tid på at udarbejde din artikel 30 fortegnelse, for derefter bare at gemme Excel-arket i en mappe på computeren og glemme alt om det. Hvis fortegnelsen ikke opdateres over tid, vil den sandsynligvis ikke længere afspejle virkeligheden. Sørg for at etablere en proces, hvor du med jævne mellemrum gennemgår din dokumentation for behandlingsaktiviteter for at vurdere, om der er behov for opdateringer.
Læs også: Brug det gratis Compliance årshjul til at give dig besked, når du skal gennemgå dokumentation
Gør udarbejdelsen af fortegnelsen til et teamarbejde. Det er essentielt at have en person, der er ansvarlig for fortegnelsen, men det er en fordel, hvis flere kolleger bidrager med oplysninger om de behandlingsaktiviteter, de er involveret i. For eksempel er det ofte marketingafdelingens medarbejdere, der bedst ved, hvilke persondata de håndterer, når de sender nyhedsbreve ud. Faciliter derfor dialogen om behandlingsaktiviteter, interview medarbejdere, eller brug en samarbejdsplatform, hvor kolleger løbende kan opdatere de behandlinger, de er ansvarlige for.
Med .legals compliance-platform, Privacy, har vi effektiviseret denne proces. Her tilbyder vi blandt andet muligheden for, at du kan dokumentere dine behandlingsaktiviteter, delegere opgaver til kolleger, sætte valideringsprocesser og påmindelser op, og aktivt bruge fortegnelsen i forbindelse med for eksempel dine risikovurderinger.
Og mest afgørende, at du med få klik kan trække din fortegnelse og eksportere den i et format, der kan fremvises til for eksempel et tilsyn.
FAQ
Er en artikel 30 fortegnelse påkrævet?
Ja, som en dataansvarlig virksomhed skal du til enhver tid og på anmodning kunne fremvise en artikel 30.1 fortegnelse. Fungerer du også som databehandler? I så fald skal du ligeledes kunne fremvise en artikel 30.2 fortegnelse på anmodning.
Er en artikel 30 fortegnelse det samme som data mapping?
Din data mapping danner grundlag for din artikel 30 fortegnelse. Du skal registrere dine behandlingsaktiviteter, og med data mapping dokumenterer du netop disse aktiviteter. På den måde bliver din fortegnelse en defineret rapport, der viser relevante oplysninger fra din data mapping.
Læs mere: Sådan gør du dit data mapping arbejde simpelt med vores data mapping værktøj
Hvad er formatet på en artikel 30 fortegnelse?
Der er ikke noget fastdefineret format for en artikel 30 fortegnelse. Der er dog krav om, hvilke informationer fortegnelsen skal indeholde, samt at den skal kunne leveres i elektronisk format. Fortegnelser ses oftest udført i Excel eller på en platform designet til formålet.
Hvad er en risikovurdering i en artikel 30 fortegnelse?
GDPR tilgår databeskyttelse med en risikobaseret tilgang. Det er et krav ifølge GDPR, at du udfører en risikovurdering af den registrerede. Dette indebærer, at du skal foretage risikovurderinger af dine behandlingsaktiviteter. Din artikel 30 fortegnelse bliver derfor grundlaget for dine risikovurderinger, idet informationerne i fortegnelsen er afgørende for at vurdere potentielle risici.
Læs mere: Sådan udfører du en GDPR risikovurdering
Info
.legal A/S
hello@dotlegal.com
+45 7027 0127
CVR: 40888888
Support
support@dotlegal.com
+45 7027 0127
Brug for hjælp?
Lad mig hjælpe jer i gang
.legal er ikke en advokatvirksomhed og er derfor ikke under tilsyn af Advokatrådet.