Hvad er en fortegnelse af databehandlings-aktiviteter?
GDPR pålægger organisationer at føre en fortegnelse over deres databehandlings-aktiviteter. Kort sagt er en fortegnelse af databehandlings-aktiviteter et struktureret og detaljeret dokument, der beskriver en organisations databehandlings-aktiviteter. Dens formål er at vise, hvordan en organisation behandler og beskytter personoplysninger. Af denne årsag er den et vigtigt værktøj til at overholde GDPR.
Her på siden kan du downloade en gratis fortegnelses-skabelon. Læs desuden, hvordan man kan bruge skabelonen til at udarbejde en fortegnelse af databehandlings-aktiviteter for jeres virksomhed.
Formålet med en fortegnelse af databehandlings-aktiviteter
Formålet med at oprette en fortegnelse af databehandlings-aktiviteter er at give gennemsigtighed og ansvarlighed for jeres databehandlings-praksis. Derudover kan det hjælpe jer med at overholde aspekter af GDPR. For eksempel opfyldelse af anmodninger om registrerede rettigheder og gennemførelse af konsekvensanalyser for data (DPIA’er). Ydermere, kan det være utrolig nyttigt værktøj til at reducere jeres ansvar og hjælpe jer med at reagere korrekt i tilfælde af et databrud.
Vil du have hjælp til at beskytte jeres persondata?
I vores nyhedsbrev du får tips og tricks til hvordan du lettere kan håndtere GDPR fra vores grundlægger Sebastian Allerelli.
Når du tilmelder dig vores nyhedsbrev, får du samtidig en gratis licens for én bruger til ShareSimple, som giver dig en e-mail i Outlook. Dette særlige tilbud er kun for nye kunder, med en grænse på én licens pr. virksomhed.
Hvad siger artikel 30 i GDPR helt præcist?
Artikel 30 i GDPR opstiller kravene til at føre en fortegnelse over ens databehandlings-aktiviteter. Fortegnelsen skal indeholde følgende oplysninger:
- Firmanavn og kontaktoplysninger
- DPO-kontaktoplysninger (hvis du har en)
- Jeres formål med behandling af personoplysninger
- Kategorierne af registrerede og kategorierne af indsamlede personoplysninger
- Kategorier af modtagere, som personoplysningerne er blevet eller vil blive videregivet til
- Enhver overførsel af personoplysninger til et tredjeland eller international organisation med dokumentation for passende sikkerhedsforanstaltninger
- De påtænkte tidsfrister for sletning for forskellige kategorier af data
- En generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger
Denne fortegnelse over databehandlings-aktiviteter skal være skriftlig og være tilgængelig i elektronisk form. Desuden skal I være klar til at give det til en datatilsyns-myndighed efter anmodning.
Start GDPR-oprydningen med det fulde overblik

En GDPR Risiko-rapport giver jer et komplet overblik over GDPR-risikoen i jeres Outlook, OneDrive, SharePoint, lokaldrev og/eller netværksdrev. Rapporten udarbejdes på baggrund af et scan med Data Discovery-værktøjet DataMapper,
Undtagelser
Bemærk, at jeres virksomhed kan være undtaget fra kravet om at udarbejde en fortegnelse – hvis følgende er sandt:
- I har færre end 250 ansatte
- Jeres databehandling vil sandsynligvis ikke medføre risici for folks rettigheder og friheder
- Jeres databehandling er kun lejlighedsvis
- I behandler ikke særlige kategorier af data
- I behandler ikke personoplysninger i forbindelse med straffedomme og lovovertrædelser
Men som tidligere nævnt vil en grundlæggende registrering af databehandlings-aktiviteter hjælpe jer med at overholde andre aspekter af GDPR. Overvej derfor at oprette en, selvom I ikke er forpligtet til det.

Vil du have hjælp til at udfylde denne skabelon?
At udfylde en fortegnelse over databehandlings-aktiviteter kræver, at I har en forståelse af de følsomme data, I behandler. Helt konkret bør I vide, hvem de tilhører, hvor I opbevarer det, hvem der har adgang til det, og hvordan I beskytter det. For at holde styr på alle disse ting, skal I vide hvilke følsomme data, I har liggende. Med vores Data Discovery-værktøj DataMapper kan I finde dem nemt og hurtigt.

Sebastian Allerelli
Grundlægger & COO hos Safe Online
Specialist i Ledelse, Risiko og GDPR