Hvordan skal behandlingsaktiviteter dokumenteres?

Hvordan skal behandlingsaktiviteter dokumenteres?

En del af Databeskyttelsesforordningen er, at du skal lave en fortegnelse over dine behandlingsaktiviteter. Det vil sige at du skal dokumentere din databehandling.

Der er forskel på, hvad du skal dokumentere, afhængigt af om du er databehandler eller dataansvarlig. Men  hvilke krav er der til dokumentationen, og hvordan skal man gøre det? Det får du svar på i dette blogindlæg.

Skal man dokumentere alle behandlingsaktiviteter?

Som udgangspunkt skal man dokumentere alle behandlingsaktiviteter, dog er der undtagelser. Hvis din organisation beskæftiger under 250 personer, skal du fx ikke dokumentere dine behandlingsaktiviteter – medmindre:

  • Behandlingen sandsynligvis vil medføre en risiko for de registreredes rettigheder og frihedsrettigheder;
  • Behandlingen ikke er lejlighedsvis;
  • Behandlingen omfatter særlige kategorier af persondata;
  • Behandlingen omfatter persondata vedrørende straffedomme og lovovertrædelser.

Dataansvarlig

Hvad skal man dokumentere og hvordan?

Man skal som dataansvarlig føre fortegnelse over de behandlingsaktiviteter, som man selv foretager, og de behandlingsaktiviteter, som man har ansvar for. Du skal derfor også dokumentere de behandlingsaktiviteter, som en databehandler foretager for dig.

Disse fortegnelser skal foreligge skriftligt, i maskinlæsbart format, og skal kunne stilles til rådighed for Datatilsynet.

Hvad skal behandlingsfortegnelsen indeholde, hvis du er dataansvarlig?

  • Den dataansvarliges navn og kontakt oplysninger;
  • Hvis der er fælles dataansvar, skal den fælles dataansvarlige angives, samt dennes repræsentant og databeskyttelsesrådgiver;
  • Formålene med behandlingen;
  • Kategorierne af registrerede;
  • Kategorierne af personoplysninger;
  • Kategorier af modtagere, som persondata videregives til;
  • Videregivelse til tredjelande eller internationale organisationer;
    • Hvilke modtagere oplysningerne videregives til;
    • Angive de pågældende tredjelande eller den internationale organisation;
    • Derudover skal der i visse tilfælde foreligge dokumentation for passende garantier;
  • De forventede tidsfrister for sletning af persondata;
  • En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

Databehandler

Hvad skal man dokumentere og hvordan?

Man skal som databehandler føre fortegnelse over de kategorier af behandlingsaktiviteter, som man foretager på vegne af en dataansvarlig. Disse fortegnelser skal foreligge skriftligt, i elektronisk format, så de kan stilles til rådighed for Datatilsynet.

Hvad skal behandlingsfortegnelsen indeholde, hvis du er databehandler?

  • Dine (databehandlerens) navn og kontakt oplysninger;
  • Den dataansvarliges navn og kontaktoplysninger;
  • Den dataansvarliges og databehandlers databeskyttelsesrådgiver;
  • De kategorier af behandling der foretages på vegne af de dataansvarlige;
  • Videregivelse til tredjelande eller internationale organisationer;
    • Hvilke modtagere oplysningerne videregives til;
    • Angive de pågældende tredjelande eller den internationale organisation;
    • Derudover skal der i visse tilfælde foreligge dokumentation for passende garantier;
  • En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger.

Husk

Uanset om du er databehandler eller dataansvarlig skal du sikre, at dine behandlingsfortegnelser er up to date. Derfor er det en god ide at gennemgå dem løbende.

2019-08-26T08:54:27+01:00 May 16th, 2019|