Artikel 30 fortegnelse

artikel 30 fortegnelse

En artikel 30-fortegnelse er et internt register over alle virksomhedens behandlinger af personoplysninger. Den er lovpligtig i henhold til GDPR artikel 30 og dokumenterer, hvordan I behandler persondata i jeres forretning. Fortegnelsen giver et klart overblik over alle processer med persondata – herunder formål, hvilke data og personer det drejer sig om, hvem der modtager data, samt hvordan I beskytter dem.

Kravet udspringer af GDPR’s fokus på ansvarlighed (accountability), dvs. at dataansvarlige – og i visse tilfælde databehandlere – skal kunne påvise overholdelse af reglerne gennem dokumentation. En ajourført artikel 30-fortegnelse er derfor nøglen til GDPR-compliance og opbygger tillid hos kunder og myndigheder ved at vise, at I tager databeskyttelse seriøst.

Hvem skal føre en artikel 30-fortegnelse?

Som udgangspunkt skal alle virksomheder, der behandler personoplysninger, have en artikel 30-fortegnelse. GDPR kræver, at hver dataansvarlig fører en fortegnelse over sine behandlingsaktiviteter (artikel 30 stk. 1).

Hvis jeres virksomhed også fungerer som databehandler for andre – fx hvis I leverer en service, hvor I behandler kunders data – skal I føre en separat fortegnelse over disse aktiviteter (artikel 30 stk. 2). Med andre ord skal I kunne fremvise en fortegnelse som dataansvarlig, og hvis I også har en databehandlerrolle, skal I kunne fremvise en fortegnelse for de behandlinger, I udfører for andre.

GDPR indeholder en snæver undtagelse for meget små virksomheder: Har man under 250 ansatte, og ens behandlinger er rent lejlighedsvise, uden følsomme oplysninger og uden risiko for de registreredes rettigheder, kan man i princippet være fritaget. I praksis rammer denne undtagelse dog meget få – næsten alle virksomheder håndterer jævnligt persondata (f.eks. medarbejder- eller kundedata) og er dermed omfattet.

Tommelregel: Har I et CVR-nummer og behandler I persondata, skal I have en artikel 30-fortegnelse.

Internt ansvar: Det er som udgangspunkt virksomheden (den dataansvarlige), der har ansvaret for at udarbejde og vedligeholde fortegnelsen. Ofte vil en GDPR-ansvarlig, compliance-medarbejder eller DPO stå for det i praksis, men ledelsen skal sikre, at det bliver gjort. Databehandlere har tilsvarende ansvar for at lave deres egen fortegnelse for de behandlinger, de udfører på vegne af dataansvarlige.

Hvad skal en artikel 30-fortegnelse indeholde?

Fortegnelsen skal som minimum indeholde en række specifikke oplysninger om hver behandlingsaktivitet.

Den dataansvarliges artikel 30-fortegnelse skal dokumentere:

  • Navn og kontaktoplysninger på den dataansvarlige (typisk virksomheden) – samt evt. fælles dataansvarlige, repræsentant og databeskyttelsesrådgiver (DPO).

  • Formålet med behandlingen af personoplysninger.

  • Kategorier af registrerede personer – fx kunder, ansatte, leverandører – samt kategorier af personoplysninger om dem.

  • Kategorier af modtagere – hvem persondata evt. videregives til (interne eller eksterne tredjeparter).

  • Overførsel til tredjelande – eventuelle overførsler af persondata til lande uden for EU/EØS eller internationale organisationer.

  • Opbevaringsperiode – forventede slettefrister eller kriterier herfor.

  • Tekniske og organisatoriske sikkerhedsforanstaltninger – en generel beskrivelse af, hvordan I beskytter personoplysningerne.

Databehandlerens artikel 30-fortegnelse skal indeholde:

  • Navn og kontaktoplysninger på databehandleren – samt for hver dataansvarlig kunde, I arbejder for.

  • Kategorier af behandlinger udført på vegne af hver dataansvarlig.

  • Eventuelle overførsler til tredjelande.

  • Tekniske og organisatoriske sikkerhedsforanstaltninger hos jer som databehandler.

Tip: Det kan være en fordel at opstille sin fortegnelse i et skema eller regneark, hvor hver behandlingsaktivitet udgør en række. Kolonner kan svare til de påkrævede oplysninger (formål, data-kategorier, modtagere, slettefrist m.v.).

Forskel på dataansvarlig og databehandler

Både dataansvarlige og databehandlere er omfattet af kravet om fortegnelse, men indholdet afspejler deres forskellige roller.

Den dataansvarlige fører fortegnelse over egne processer – fx HR, salg, markedsføring og leverandørstyring.

Den databehandler fører fortegnelse over de behandlinger, virksomheden udfører på vegne af andre. Her beskrives kundens formål og de sikkerhedsforanstaltninger, der beskytter disse data.

Mange virksomheder har begge roller. Et IT-firma kan fx være dataansvarlig for egne HR-data og databehandler for kundedata. I så fald skal man føre begge typer fortegnelser, evt. samlet i ét dokument, hvis det tydeligt fremgår, hvilke dele der vedrører hver rolle.

Eksempler: fortegnelsen i praksis

En post i fortegnelsen kunne fx omhandle kundeservice i en virksomhed:

  • Formål: At håndtere henvendelser fra kunder om virksomhedens produkter eller services.

  • Registrerede: Kunder (og evt. potentielle kunder).

  • Personoplysninger: Navn, kontaktoplysninger og evt. ordre- eller kunde-ID.

  • Modtagere: Fx fragtfirmaer eller reparatører.

  • Opbevaringsfrist: Indtil sagen er afsluttet + 1 måned.

  • Sikkerhedsforanstaltninger: Adgangsstyring, loginbeskyttelse og procedurer for at undgå uautoriseret adgang.

Alle virksomhedens relevante processer skal dokumenteres på lignende vis – f.eks. løn, rekruttering, nyhedsbreve, leverandøradministration og IT-drift.

Hvorfor er fortegnelsen vigtig?

Udover at være et lovkrav giver arbejdet med fortegnelsen et værdifuldt overblik over, hvordan data strømmer i virksomheden. Det kan afsløre ineffektive processer, unødige datasæt eller manglende slettepolitikker.

Fortegnelsen fungerer desuden som fundament for andre GDPR-dokumenter – fx privatlivspolitikker, risikovurderinger og konsekvensanalyser – fordi den viser, hvilke data I har, hvorfor og hvordan de håndteres.

Typiske spørgsmål om artikel 30-fortegnelsen (FAQ)

Er en artikel 30-fortegnelse påkrævet for os?

Ja, stort set alle virksomheder er omfattet. Kun hvis I har under 250 ansatte og helt marginal databehandling (uden følsomme data), kan kravet fraviges.

Skal fortegnelsen sendes til Datatilsynet?

Nej, den skal ikke indsendes proaktivt. Men Datatilsynet kan til enhver tid bede om at se den – fx ved tilsyn eller klagesag. Derfor skal den altid være opdateret og tilgængelig.

Findes der en skabelon?

Ja, Datatilsynet har udgivet eksempler, og mange virksomheder bruger et simpelt Excel-ark eller et GDPR-værktøj. Der er ingen formkrav, så længe oplysningerne er med.

Hvor ofte skal den opdateres?

Løbende – hver gang der sker ændringer i jeres behandlinger. Derudover bør I gennemgå fortegnelsen mindst én gang årligt.

Er fortegnelsen det samme som en privatlivspolitik?

Nej. Fortegnelsen er et internt dokument, mens privatlivspolitikken er den tekst, I viser kunder og ansatte. Indholdet overlapper dog, så det skal være konsistent.

Hvad med “data mapping”?

Data mapping er kortlægningen, der ligger forud for fortegnelsen. Fortegnelsen er det færdige dokument, som samler resultaterne af data mapping i den form, GDPR kræver.

Kan vi bruge Excel?

Ja. Excel eller lignende er fuldt ud acceptabelt, så længe alle påkrævede oplysninger er med.

Hvad sker der, hvis vi ikke har en fortegnelse?

Manglende fortegnelse er en overtrædelse af GDPR’s dokumentationskrav og kan medføre påbud eller bøder.

Hvordan hænger fortegnelsen sammen med andre GDPR-krav?

Fortegnelsen er grundlaget for det meste GDPR-arbejde. Den danner basis for privatlivspolitikker, risikovurderinger, databehandleraftaler og håndtering af indsigtsanmodninger.

GDPR-regler.dk Rene Nørbjerg GDPR konsulent

Skrevet af
Rene Nørbjerg

GDPR Rådgiver

GDPR løsninger:

  • Total hjemmeside løsning
  • Total virksomhedsløsning
Tilbage til artikler