Dataansvarlige og databehandlere skal lave interne oversigter over organisationens behandling af personoplysninger. Nedenfor får du fif til, hvordan I udarbejder sådan en oversigt i din organisation, og hvad den skal indeholde.
Oversigten – som man også kalder en fortegnelse – skal give et overblik over alle organisationens behandlingsaktiviteter. Det vil sige, hver gang I på en eller anden måde f.eks. registrerer, indsamler eller videregiver en personoplysning.
Fortegnelsen er intern og skal altså kun udleveres til Datatilsynet, hvis de beder om den.
Fortegnelsens indhold og form
Alle personoplysninger, som I behandler, skal beskrives i fortegnelsen – uanset om det er en persons navn, telefonnummer, køn, alder eller andre personoplysninger.
Der er dog forskel på, hvad en fortegnelse skal indeholde afhængigt af, om din organisation er dataansvarlig eller databehandler. Få en komplet liste over, hvad der skal være med i jeres fortegnelse og et eksempel på en fortegnelse i Datatilsynets Vejledning om Fortegnelse.
Der kan være enkelte undtagelser, hvor man som dataansvarlig eller databehandler ikke skal udarbejde en fortegnelse. I Datatilsynets vejledning (side 14) kan du se, om I er underlagt kravet om at lave en fortegnelse i din organisation.
Når det gælder formen, skal fortegnelsen være skriftlig og elektronisk. Man må altså ikke udelukkende føre fortegnelse i et fysisk dokument. Derudover er der ikke noget krav til fortegnelsens format.
Beskriv hvem og hvad, I registrerer
Er I dataansvarlige skal alle de mulige kategorier af registrerede fremgå af fortegnelsen. Hos en rådgivning kunne disse kategorier f.eks. være:
- Den rådsøgende
- Den rådsøgendes pårørende
- Rådgivere (ansatte og frivillige)
- Øvrige ansatte i rådgivningen
- Medlemmer
Organisationer, som er dataansvarlige, skal også sørge for, at fortegnelsen indeholder en oversigt over hvilken slags personoplysninger, der behandles. Det vil sige, at det skal angives, om det er ”almindelige personoplysninger”, ”særlige kategorier af personoplysninger” (også kaldet følsomme personoplysninger) eller ”oplysninger om strafbare forhold”.
Nedenfor kan du se eksempler på almindelige og særlige kategorier af personoplysninger:
Almindelige personoplysninger er f.eks.:
- Navn
- Telefonnummer
- Sygedage
- Familieforhold
Særlige kategorier af personoplysninger er f.eks.:
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetisk data
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
I en fortegnelse skal man præcisere, hvilken slags ”særlige kategorier af personoplysninger”, der anvendes. Det vil sige, at det er ikke nok at oplyse, at der indsamles særlige kategorier af personoplysninger, men det skal fremgå, om det er f.eks. helbredsoplysninger, oplysninger om etnicitet eller noget helt tredje.
Oplysninger om strafbare forhold kan f.eks. være information om, at en person:
- har begået en bestemt lovovertrædelse
- har adresse i et fængsel
- eller andre informationer, som gør, at man kan regne ud, at personen har begået noget strafbart.
Hvorfor månedens GDPR-fif?
RådgivningsDanmark har søsat et større GDPR-projekt og har generelt fokus på at understøtte medlemmerne i at blive og forblive GDPR-compliant, så vi i fællesskab passer godt på vores brugeres data. Et vigtig skridt i denne retning er at få indarbejdet GDPR-compliance som en integreret del af den daglige drift, sådan at vedligehold af dokumentation, sletning af data, opfølgning på indgåede aftaler mv. sker fast og foregår efter en cyklus.
Som et led heri giver vi i hvert nyhedsbrev en række helt enkle anbefalinger, som kan understøtte indsatsen og bidrage til gode GDPR-rutiner.