Databeskyttelsesforordningen (GDPR) kræver, at virksomheder der behandler personoplysninger (den dataansvarlige) samt eventuelle repræsentanter skal føre en optegnelse over alle behandlingsaktiviteter, som de er ansvarlige for. Derudover skal databehandlere og deres repræsentanter føre optegnelse over alle kategorier af behandlingsaktiviteter, der udføres på vegne af den dataansvarlige.
Denne regel baserer sig på princippet om ansvarlighed, hvorefter den dataansvarlige skal overholde GDPR-reglerne, men også kunne påvise reel og praktisk efterlevelse i den daglige databehandling.
Kravet om at føre fortegnelse skal ses som en del af de samlede forpligtelser, herunder til dokumentation, som en dataansvarlig har for lovmæssig behandling af personoplysninger. Yderligere dokumenter til brug for overholdelse af dokumentationskravet er blandt andet privatlivspolitik (princippet om gennemsigtighed), intern datapolitik (sikring af korrekt behandling af oplysninger), konsekvensanalyse (risici m.v. ved behandlingen) og databehandleraftalen (hvor andre behandler personoplysninger på vegne af den dataansvarlige).
En fortegnelse skal være skriftlig og elektronisk, men der er ikke derudover formkrav. Der er dog en række indholdsmæssige krav, herunder blandt andet formålsoplysning, angivelse af samtlige behandlingsaktiviteter, kategorisering af dem, hvis personoplysninger behandles, oplysning om modtagere ved videregivelse m.v.
For at sikre efterlevelse af reglerne vedrørende fortegnelsen, kan det være afgørende at anvende juridisk rådgivning i processen – og vi kan hjælpe med udarbejdelsen fra bunden ud fra en gennemgående undersøgelse og analyse af virksomhedens behandlingsaktiviteter.
Det er dog vigtigt at bemærke, at virksomheder og organisationer, der har under 250 ansatte, kan undtages fra kravet om at føre fortegnelse.
Kontakt os i dag for hjælp til at få afdækket hvorvidt din virksomhed skal føre fortegnelse over behandlingsaktiviteter, og hvordan juridisk rådgivning i forbindelse med udarbejdelsen kan skabe værdi for virksomheden og sikre overholdelse af GDPR.
