Gå til oversigt for vejledninger

Vejledning om fortegnelse

Hent printvenlig udgave

Hvad er en fortegnelse?

En fortegnelse er en oversigt over behandlingsaktiviteter. Den skal omfatte al behandlingsaktivitet af både almindelige og særlige personoplysninger, samt straffedomme og lovovertrædelser. Fortegnelser er en reelt nødvendig forudsætning for, at I kan overholde forpligtelserne i databeskyttelsesforordningen. Det er også nødvendigt at føre en fortegnelse over kategorien af behandlingsaktiviteter.

En databehandler behandler personoplysninger på vegne af den dataansvarlige. Databehandleren bestemmer hverken hvordan eller med hvilke formål, der må behandles personoplysninger.

Fortegnelser skal eksistere skriftligt og elektronisk, og både dataansvarlige, databehandlere og disses repræsentanter er forpligtede til at føre en fortegnelse.

Virksomheder eller organisationer, der beskæftiger under 250 personer, kan undtages fra kravet om at føre en fortegnelse. I praksis er adgangen til undtagelse dog ganske snæver og det vil være en sjælden undtagelse, selvom det ikke ser sådan ud i forordningen.

Brug for hjælp?

Vi hjælper med at få overblik over skolens persondata

Ring 4358 4575

Hvorfor er en fortegnelse vigtig?

Fortegnelseskravet er i vidt omfang et udtryk for dokumentation. Det er tænkt som en ”intern” forpligtelse, og skolen skal kun sende fortegnelser på Datatilsynets anmodning.

Fortegnelseskravet erstatter anmeldelsesordningen og bygger på en ansvarlighedstanke i to dele:

  1. Den dataansvarlige har ansvaret for, at reglerne i forordningen overholdes
  2. Den dataansvarlige skal kunne påvise, at behandling af personoplysninger lever op til forordningens regler

Hvem skal føre fortegnelser?

Den dataansvarlige og databehandleren og, hvis det er relevant repræsentanter for disse, skal vedligeholde fortegnelser

Der stilles forskellige indholdsmæssige krav til de forskellige parter. Læs mere i Justitsministeriets og Datatilsynets ”Vejledning om dataansvarlige og databehandlere” 2017.

Ofte er der en kæde af databehandlere, der også bruger persondata. SkoleIT er et eksempel. Vær opmærksom på at få en opdateret databehandleraftale med jeres eksterne databehandlere. Vi udsender en ny databehandleraftale fra SkoleIT i marts.

Vi går i dybden med dette punkt i forbindelse med et kommende nyhedsbrev.

Hvad dækker personoplysninger over?

Almindelige personoplysninger

Ikke følsomme

Navn

Adresse

Fødselsdato

Stilling

Kontaktoplysninger

m.m.

Særlige personoplysninger

Følsomme

Helbredsforhold

Medlemskab af fagforening

Etnisk baggrund

Politisk overbevisning

Seksuel orientering

m.m.

Krav til fortegnelse for dataansvarlige (skolen)

Ifølge “Vejledning om fortegnelse”, 2018 fra Datatilsynet og Justitsministeriet skal en fortegnelse som minimum indeholde følgende oplysninger:

Navn og kontaktoplysninger

Anfør den dataansvarlige, og når det er relevant den fælles dataansvarlige, den dataansvarliges repræsentant og databeskyttelsesrådgiveren.

Formål

Beskrivelse, overvejelse og vurdering af samtlige formål med behandlingsaktiviteter.

Det er muligt at samle flere behandlingsaktiviteter i grupperinger, hvis de kan formuleres under ét samlet, logisk og sammenhængende formål. Det kan være ”delformål”, som har en indbyrdes sammenhæng, fordi der er tale om den samme opgave eller det samme lovgrundlag f.eks. en fortegnelse for elever.

Kategorier af registrerede og personoplysninger

En beskrivelse af kategorier af registrerede og kategorier af personoplysninger.

Kategorier af registrerede

Eksempler på kategorier af registrerede

Ansatte

Tidligere ansatte

Ansøgere

Elever

Tidligere elever

Forældre

Værger

Pårørende

Kategorier af personoplysninger

Eksempler på kategorier af personoplysninger

Folkeregisteroplysninger

Straffeattest

Kontonummer

Lønoplysninger

Pensionsforhold

Ferie og andet fravær

Familiære relationer

Sociale problemer

Det skal som minimum anføres, om den dataansvarlige behandler almindelige person- oplysninger, særlige kategorier af personoplysninger eller oplysninger om strafbare forhold (hhv. artikel 6, 9 eller 10 ). Behandlingen af særlige kategorier af personoplysninger (artikel 9) forudsætter en specifik beskrivelse. Datatilssynet lister følgende eksempler på side 7:

  • Race eller etnisk oprindelse  
  • Politisk, religiøs eller filosofisk overbevisning  
  • Fagforeningsmæssigt tilhørsforhold  
  • Genetiske data  
  • Biometriske data med henblik på entydigt at identificere en fysisk person  
  • Helbredsoplysninger  
  • Seksuelle forhold eller seksuel orientering

Kategorier af modtagere ved videregivelse

Fortegnelsen skal indeholde oplysninger om kategorien af modtagere, når du videregiver eller vil videregive personoplysninger. Det skal også fremgå af fortegnelsen, hvis der videregives oplysninger til en international organisation eller en modtager, der befinder sig i et tredjeland. Der skal kun anføres regelmæssige overførsler.

Eksempler på kategorier af modtagere:

    • SKAT og andre offentlige myndigheder
    • PBS vedrørende betalingsformidling
    • Pensionskasser
    • Andre elever
    • Forældre

Overførsler til tredjelande og internationale organisationer

Overførsler af personoplysninger til et tredjeland eller en international organisation skal fremgå af fortegnelsen, hvor det er relevant.

Slettefrister

Det skal løbende vurderes, om formålet med behandlingen er opfyldt, og oplysningerne skal slettes. Hvis det er muligt, skal fortegnelsen indeholde forventede slettefrister for de forskellige kategorier af oplysninger.

Ifølge Datatilsynets nuværende praksis har den dataansvarlige ikke pligt til løbende at gennemgå sager, dokumenter m.m. for at sikre, at der ikke opbevares oplysninger længere end nødvendigt. Det forudsætter, at skolen laver procedurer, der sikrer at slettefrister overholdes.

Tekniske og organisatoriske foranstaltninger

Fortegnelsen bør indeholde en generel beskrivelse af tekniske og organisatoriske sikkerhedsforanstaltninger, hvis det er muligt. Skolen kan hermed bevise, at den overholder forordningens krav.

Tekniske foranstaltninger

Eksempler på tekniske foranstaltninger

Krypteret datatransmission og lagring af data

Backup og genetableringsprocedure for alle servere

Adgang til arbejdsstationer med individuelt brugernavn og password/2-faktor login

Kryptering i forbindelse med fjernarbejdspladser og mobile enheder

Organisatoriske foranstaltninger

Eksempler på organisatoriske foranstaltninger

Træning af medarbejdere

Videreuddannelse af personale

Certificering af medarbejdere, der arbejder med persondata

Procedurer og politikker for behandling af personoplysninger

Eksempler på fortegnelser

Se gratis værktøj som inspiration til fortegnelser over behandlingsaktiviteter.

Kilder

Datatilsynet og Justitsministeriet: “Vejledning om fortegnelse”, 2018

Datatilsynet og Justitsministeriet: ”Vejledning om dataansvarlige og databehandlere”, 2017