REGISTRER LISTE
Nogle virksomheder skal oprette en registerliste i henhold til GDPR
Det er et krav, at visse virksomheder opretter en registerliste i henhold til GDPR. Det betyder, at virksomheden skal dokumentere sine behandlinger af personoplysninger.
Ikke alle virksomheder behøver at oprette et register i henhold til GDPR
Det er ikke nødvendigt, at alle virksomheder udarbejder en registerliste. Som hovedregel skal virksomheder med mere end 250 ansatte oprette et register. På den anden side kan virksomheder med færre ansatte også være nødt til at gøre det.
Virksomheder med færre end 250 ansatte skal udarbejde en fortegnelse over behandlingsaktiviteter:
- Er regelmæssig og derfor ikke vedrører en midlertidig behandling.
- Sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder.
- Omfatter særlige kategorier af oplysninger i henhold til artikel 9, stk. 1, i GDPR.
- Omfatter personoplysninger om straffedomme og lovovertrædelser i henhold til artikel 10 i GDPR.
Bemærk, at virksomheder med færre end 250 ansatte, der udfører en behandlingsaktivitet, der kræver registrering, ikke er forpligtet til at registrere alle deres behandlingsaktiviteter vedrørende personoplysninger. Kun behandlinger, der opfylder et af ovennævnte krav, skal dokumenteres i registret. Dette adskiller sig fra de større virksomheder med mere end 250 ansatte, som skal dokumentere alle deres behandlingsaktiviteter i registret.
Skal være skriftlige og tilgængelige i elektronisk form
Virksomheder, der skal udarbejde en registerliste, skal gøre dette skriftligt i henhold til artikel 30 i GDPR. Desuden skal listen være tilgængelig i elektronisk format. F.eks. via en Excel-fil. Hvis den nationale databeskyttelsesmyndighed anmoder om adgang hertil, skal virksomheden give den.
Eksempel på, hvad der skal medtages på en liste over dataansvarlige
Kontaktoplysninger
Den dataansvarliges kontaktoplysninger Hvis virksomheden har en databeskyttelsesrådgiver, skal dennes kontaktoplysninger også angives.
Formål
Formålet med behandlingen.
Kategorier
De kategorier af personoplysninger, som behandlingen vedrører, såsom følsomme eller andre personoplysninger, der er følsomme over for privatlivets fred Det samme gælder for kategorier af registrerede såsom børn eller andre grupper, der fortjener yderligere beskyttelse.
Modtager
Hvem virksomheden afgiver personoplysningerne til. F.eks. en databehandler, særlige interne afdelinger eller andet personale.
Overførsel til et tredjeland
Hvis virksomheden overfører personerne til et tredjeland, dvs. et land uden for EU/EØS, skal det angives. Det pågældende tredjeland skal også bemærkes.
Deadline
Varigheden af behandlingen af personoplysningerne.
Sikkerhedsforanstaltninger
Det er også nyttigt at medtage en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som virksomheden har indført for at beskytte personoplysningerne.
Eksempel på, hvad der skal medtages i en databehandlers register
Kontaktoplysninger
Kontaktoplysninger: Databehandlerens kontaktoplysninger indføres i registret. Det samme gælder for enhver dataansvarlig, som databehandleren har modtaget en behandlingsopgave fra. Hvis databehandleren har en databeskyttelsesrådgiver, angives også den databeskyttelsesansvarliges kontaktoplysninger.
Kategorier
De kategorier af personoplysninger, der er berørt af den behandling, som databehandleren foretager for den dataansvarlige.
Overførsler til tredjelande
Oplysninger om enhver overførsel af personoplysninger til en aktør i et tredjeland Dvs. et land uden for EU/EØS.
Sikkerhedsforanstaltninger
Registerlisten bør indeholde en beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren har gennemført for at beskytte personoplysningerne, hvis det er muligt at specificere dem. Eksempler på tekniske og organisatoriske sikkerhedsforanstaltninger, som databehandleren kan gennemføre, omfatter brug af antivirusbeskyttelse, flertrinsautentifikation til inlogging, kryptering, interne procedurer, databehandleraftaler osv.
FLERE OPLYSNINGER
Indgå en databehandlingsaftale
Hvis en dataansvarlig ansætter en databehandler, indgår den en databehandleraftale med hinanden. Bemærk venligst, at aftalen skal være skriftlig, da det er et formelt krav i henhold til loven. Kontrakten regulerer forholdet mellem kontraktparterne samt, hvad databehandleren kan eller ikke kan gøre med personoplysningerne.