Datatilsynet og Justitsministeriet offentliggjorde i februar 2018 en vejledning om fortegnelse. Vejledningen var Datatilsynets og Justitsministeriets bud på, hvad en fortegnelse skulle indeholde for at leve op til kravene i databeskyttelsesforordningens artikel 30.
Datatilsynet har på baggrund af de erfaringer, som tilsynet – som led i sin tilsynsopgave – har gjort sig efter, at databeskyttelsesforordningen siden den 25. maj 2018 har fundet anvendelse, opdateret vejledningen om fortegnelse.
Kravet om at føre en fortegnelse skal ses som en forlængelse af databeskyttelsesforordningens øgede fokus på ansvarlighed. Ansvarlighedstanken indebærer for det første, at den dataansvarlige – og i visse tilfælde databehandleren – har ansvaret for, at forordningens regler efterleves. For det andet skal den dataansvarlige også kunne påvise, at de behandlinger denne har ansvaret for, lever op til forordningens regler.
Hvad er nyt?
Noget af det, som er blevet opdateret i forhold til den tidligere version, er følgende præciseringer:
Når man ser på formålene med fortegnelseskravet, er det Datatilsynets vurdering, at en fortegnelse over behandlingsaktiviteter skal indeholde en tydelig kobling mellem, hvilke kategorier af personoplysninger, der behandles om de enkelte kategorier af registrerede. Hvis der bliver eller vil blive videregivet personoplysninger i forbindelse med en behandlingsaktivitet, skal fortegnelsen også indeholde information om, hvilke kategorier af personoplysninger, der bliver eller vil blive videregivet til den pågældende modtager. I tilknytning hertil skal det også fremgå, hvilke kategorier af registrerede, de pågældende oplysninger vedrører.
Dette er efter tilsynets opfattelse oplysninger, som dataansvarlige/databehandlere – i henhold til ansvarlighedstanken – bør have viden om og dokumentation for, herunder bl.a. til brug for udarbejdelse af risikovurderinger og implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger m.v.
Vejledningen om fortegnelse er således blevet opdateret i overensstemmelse hermed.
Har du spørgsmål?
Hvis du har spørgsmål om vejledningen og fortegnelseskravet, kan du kontakte Datatilsynet på tlf. 33 19 32 00.