Hvad er en fortegnelse?
En fortegnelse er en oversigt over behandlingsaktiviteter. Den skal omfatte al behandlingsaktivitet af både almindelige og særlige personoplysninger, samt straffedomme og lovovertrædelser. Fortegnelser er en reelt nødvendig forudsætning for, at I kan overholde forpligtelserne i databeskyttelsesforordningen. Det er også nødvendigt at føre en fortegnelse over kategorien af behandlingsaktiviteter.
En databehandler behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer hverken hvordan eller med hvilke formål, der må behandles personoplysninger.
Fortegnelser skal eksistere skriftligt og elektronisk, og både dataansvarlige, databehandlere og disses repræsentanter er forpligtede til at føre en fortegnelse.
Virksomheder eller organisationer, der beskæftiger under 250 personer, kan undtages fra kravet om at føre en fortegnelse. I praksis er adgangen til undtagelse dog ganske snæver og det vil være en sjælden undtagelse, selvom det ikke ser sådan ud i forordningen.
Brug for hjælp?
Ring 4358 4575
Hvorfor er en fortegnelse vigtig?
Fortegnelseskravet er i vidt omfang et udtryk for dokumentation. Det er tænkt som en ”intern” forpligtelse, og skolen skal kun sende fortegnelser på Datatilsynets anmodning.
Fortegnelseskravet erstatter anmeldelsesordningen og bygger på en ansvarlighedstanke i to dele:
- Den dataansvarlige har ansvaret for, at reglerne i forordningen overholdes
- Den dataansvarlige skal kunne påvise, at behandling af personoplysninger lever op til forordningens regler
Hvem skal føre fortegnelser?
Den dataansvarlige og databehandleren og, hvis det er relevant repræsentanter for disse, skal vedligeholde fortegnelser
Der stilles forskellige indholdsmæssige krav til de forskellige parter. Læs mere i Justitsministeriets og Datatilsynets ”Vejledning om dataansvarlige og databehandlere” 2017.
Ofte er der en kæde af databehandlere, der også bruger persondata. SkoleIT er et eksempel. Vær opmærksom på at få en opdateret databehandleraftale med jeres eksterne databehandlere. Vi udsender en ny databehandleraftale fra SkoleIT i marts.
Vi går i dybden med dette punkt i forbindelse med et kommende nyhedsbrev.
Hvad dækker personoplysninger over?
Almindelige personoplysninger
Ikke følsomme
Navn
Adresse
Fødselsdato
Stilling
Kontaktoplysninger
m.m.
Særlige personoplysninger
Følsomme
Helbredsforhold
Medlemskab af fagforening
Etnisk baggrund
Politisk overbevisning
Seksuel orientering
m.m.
Krav til fortegnelse for dataansvarlige (skolen)
Ifølge “Vejledning om fortegnelse”, 2018 fra Datatilsynet og Justitsministeriet skal en fortegnelse som minimum indeholde følgende oplysninger:
Navn og kontaktoplysninger
Anfør den dataansvarlige, og når det er relevant den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren.
Formål
Beskrivelse, overvejelse og vurdering af samtlige formål med behandlingsaktiviteter.
Det er muligt at samle flere behandlingsaktiviteter i grupperinger, hvis de kan formuleres under ét samlet, logisk og sammenhængende formål. Det kan være ”delformål”, som har en indbyrdes sammenhæng, fordi der er tale om den samme opgave eller det samme lovgrundlag f.eks. en fortegnelse for elever.
Kategorier af registrerede og personoplysninger
En beskrivelse af kategorier af registrerede og kategorier af personoplysninger.
Kategorier af registrerede
Eksempler på kategorier af registrerede
Ansatte
Tidligere ansatte
Ansøgere
Elever
Tidligere elever
Forældre
Værger
Pårørende
Kategorier af personoplysninger
Eksempler på kategorier af personoplysninger
Folkeregisteroplysninger
Straffeattest
Kontonummer
Lønoplysninger
Pensionsforhold
Ferie og andet fravær
Familiære relationer
Sociale problemer
Det skal som minimum anføres, om den dataansvarlige behandler almindelige person- oplysninger, særlige kategorier af personoplysninger eller oplysninger om strafbare forhold (hhv. artikel 6, 9 eller 10 ). Behandlingen af særlige kategorier af personoplysninger (artikel 9) forudsætter en specifik beskrivelse. Datatilssynet lister følgende eksempler på side 7:
- Race eller etnisk oprindelse
- Politisk, religiøs eller filosofisk overbevisning
- Fagforeningsmæssigt tilhørsforhold
- Genetiske data
- Biometriske data med henblik på entydigt at identificere en fysisk person
- Helbredsoplysninger
- Seksuelle forhold eller seksuel orientering
Kategorier af modtagere ved videregivelse
Fortegnelsen skal indeholde oplysninger om kategorien af modtagere, når du videregiver eller vil videregive personoplysninger. Det skal også fremgå af fortegnelsen, hvis der videregives oplysninger til en international organisation eller en modtager, der befinder sig i et tredjeland. Der skal kun anføres regelmæssige overførsler.
Eksempler på kategorier af modtagere:
- SKAT og andre offentlige myndigheder
- PBS vedrørende betalingsformidling
- Pensionskasser
- Andre elever
- Forældre
Overførsler til tredjelande og internationale organisationer
Overførsler af personoplysninger til et tredjeland eller en international organisation skal fremgå af fortegnelsen, hvor det er relevant.
Slettefrister
Det skal løbende vurderes, om formålet med behandlingen er opfyldt, og oplysningerne skal slettes. Hvis det er muligt, skal fortegnelsen indeholde forventede slettefrister for de forskellige kategorier af oplysninger.
Ifølge Datatilsynets nuværende praksis har den dataansvarlige ikke pligt til løbende at gennemgå sager, dokumenter m.m. for at sikre, at der ikke opbevares oplysninger længere end nødvendigt. Det forudsætter, at skolen laver procedurer, der sikrer at slettefrister overholdes.
Tekniske og organisatoriske foranstaltninger
Fortegnelsen bør indeholde en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger, hvis det er muligt. Skolen kan hermed bevise, at den overholder forordningens krav.
Tekniske foranstaltninger
Eksempler på tekniske foranstaltninger
Krypteret datatransmission og lagring af data
Backup og genetableringsprocedure for alle servere
Adgang til arbejdsstationer med individuelt brugernavn og password/2-faktor login
Kryptering i forbindelse med fjernarbejdspladser og mobile enheder
Organisatoriske foranstaltninger
Eksempler på organisatoriske foranstaltninger
Træning af medarbejdere
Videreuddannelse af personale
Certificering af medarbejdere, der arbejder med persondata
Procedurer og politikker for behandling af personoplysninger
Eksempler på fortegnelser
Se gratis værktøj som inspiration til fortegnelser over behandlingsaktiviteter.
Kilder
Datatilsynet og Justitsministeriet: “Vejledning om fortegnelse”, 2018
Datatilsynet og Justitsministeriet: ”Vejledning om dataansvarlige og databehandlere”, 2017