Vejledning om fortegnelse

Relaterede dokumenter
os, og/eller som vi indsamler om dig, enten som led i et medlems-/kunde- eller

Bilag 17. Databehandleraftale

Databehandler aftale (Standard)

Bilag 12 Udkast til databehandleraftale

Privatlivspolitik for Ansøgere og medarbejdere hos Flügger A/S. Legal

Privatlivsbeskyttelsespolitik for Andelsboligforeninger

Privatlivspolitik for

Privatlivsbeskyttelsespolitik for EJERFORENINGEN Duevej og Mariendalsvej 65-67

Privatlivsbeskyttelsespolitik for E/F

Privatlivspolitik for A/B Haraldsted

Privatlivsbeskyttelsespolitik for Ejerforeninger

Persondatapolitik. S. Chr. Sørensen A/S. S. Chr. Sørensen A/S

Privatlivspolitik for EJENDOMSVISIONER A/S

Politik for frivillige, opbevaring og sletning af personoplysninger i Luthersk Mission Sådan behandles mails, referater og øvrige dokumenter i LM

GDPR og REEFT A/S. REEFT A/S Sandøvej Horsens

Privatlivsbeskyttelsespolitik for Udlejer

Privatlivsbeskyttelsespolitik for lejere

Privatlivspolitik for patienter

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E. 1. Indledende bemærkninger Formål Dataansvar...

Privatlivspolitik for patienter

Privatlivsmeddelelse til ansøgere 25. maj 2018

Persondatapolitik for Give Vandværk A.m.b.a

IT-sikkerheds- og Persondatapolitik for Vester Nebel Vandværk A.m.b.a.

I denne privatlivspolitik beskrives, hvordan Nørmark privathospital/speciallægeklinik behandler, bruger og videregiver dine personoplysninger.

Privatlivspolitik for patienter

Privatlivspolitik for patienter

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E. 1. Indledende bemærkninger Formål Dataansvar...

Privatlivsbeskyttelsespolitik for Ejerforeninger

Persondatapolitik for NKE-Elnet A/S

Privatlivsbeskyttelsespolitik for Andelsboligforeninger

Privatlivspolitik i DOF Aalborg Aftenskole. 25. Maj 2018

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R S O M B E B O E R E H O S S I L K E B O R G B O L I G S E L S K AB

Privatlivspolitik for patienter Kognitiv Center København

Privatlivspolitik for patienter

Beskyttelse af personlige oplysninger

INFORMATION TIL INVESTORER OG DISTRIBUTØRER OM BEHANDLING AF PERSONOPLYSNINGER

EKSTERN PERSONDATAPOLITIK DANISH MUSLIM AID Gældende fra 25. maj 2018

Privatlivspolitik for patienter

VEJLEDNING OM BEHANDLING AF PERSONOPLYSNINGER OM BEBOERE

Persondatapolitik for Samn Forsyning ApS. Maj 2018

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E 1. INDLEDENDE BEMÆRKNINGER Formål Dataansvar...

Hillerød Kommune. It-sikkerhedspolitik Overordnet politik

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E V O J E N S A N D E L S - B O L I G F O R E N I N G

Privatlivspolitik for idrætsforeninger 1

Privatlivspolitik for idrætsforeninger. [Dato for seneste ændring i privatlivspolitikken ]

1.1 Formål Dataansvar BEHANDLING AF PERSONOPLYSNINGER RELATERET TIL UDLEJNING MV Oprettelse af sag... 2

Privatlivsbeskyttelsespolitik for Udlejer

P E R S O N D A T A P O L I T I K B E B O E R E O G F R A F L Y T T E R E. 1. Indledende bemærkninger Formål Dataansvar...

Information om Realkredit Danmarks behandling af personoplysninger

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E Version 2

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E 1. INDLEDENDE BEMÆRKNINGER

Information om vores behandling af personoplysninger

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E 1. INDLEDENDE BEMÆRKNINGER Formål Dataansvar...

Samtykke. November /18. Samtykke

September Retningslinjer for brugen af Copenhagen Business Schools whistleblower-ordning

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E 1. INDLEDENDE BEMÆRKNINGER Formål Dataansvar...

Privatlivspolitik for. DSI Næsby hallerne

Privatlivspolitik for Ølstykke Gymnastik Forening (ØGF) Version 1.0, 24. maj 2018

Checkliste ved revision

Privatlivspolitik for kundeforhold i dankalk K/S

Persondatapolitik for koncernen NK-Forsyning A/S

PRIVATLIVSPOLITIK Hansen Biler A/S

Rebildselskabet er dataansvarlig, og vi sikrer, at dine personoplysninger behandles i overensstemmelse med lovgivningen.

PRIVATLIVSPOLITIK Hansen Biler Slagelse A/S

PRIVATLIVSPOLITIK. Vejle Biler A/S

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E

PRIVATLIVSPOLITIK. Kronborg Auto A/S

PRIVATLIVSPOLITIK SEMLER RETAIL A/S

PRIVATLIVSPOLITIK. Helsingør Bilhus af 2009 ApS

Behandling af personoplysninger om beboere

PRIVATLIVSPOLITIK. Autohuset I/S. Denne privatlivspolitik beskriver, hvordan Autohuset I/S (herefter Virksomheden ) behandler dine personoplysninger.

Privatlivspolitik for idrætsforeninger. 20.maj 2018

Privatlivspolitik for kunder hos Data-Larsen & Co ApS, modtagere af elektronisk post og brugere af

Privatlivspolitik for Aunslev IF Fodbold. (opdateret )

PRIVATLIVSPOLITIK. Carepoint Svendborg A/S

PRIVATLIVSPOLITIK. [Carepoint Ejby] Denne privatlivspolitik beskriver, hvordan [Carepoint Ejby] behandler dine personoplysninger.

PRIVATLIVSPOLITIK. Dalsgaard Biler A/S

Information om Realkredit Danmarks behandling af personoplysninger

Næstved Autocenter A/S (ŠKODA Næstved)

PRIVATLIVSPOLITIK. Egon Hansen & Søn A/S

PRIVATLIVSPOLITIK Maul Biler A/S

PRIVATLIVSPOLITIK. Odsherred Motor Co A/S

PRIVATLIVSPOLITIK. Volkswagen Birkerød A/S

PRIVATLIVSPOLITIK. Carepoint Horsens

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E

PRIVATLIVSPOLITIK. OVE B. DIRKSEN A/S Skoda Servicepartner Odder

Lunge og Allergiklinikken København, Nørre Farimagsgade 13, 1. tv., 1364 København K v/speciallæge Torben Evald

PRIVATLIVSPOLITIK BIL-FORUM A/S

PRIVATLIVSPOLITIK. Volkswagen Silkeborg, Vulcan Silkeborg A/S

Vejledning til anmeldelse. af forskningsprojekter, databaser, registre og biobanker, der indeholder fortrolige personoplysninger

PRIVATLIVSPOLITIK. OVE B. DIRKSEN A/S Volkswagen Skanderborg & Odder

PRIVATLIVSPOLITIK. Volkswagen Holstebro

Vejledning til tilskudsordning for Grøn industrisymbiose

PRIVATLIVSPOLITIK. A/S Carl Knudsen Volkswagen Tønder

Politik for mødet med borgeren

B E H A N D L I N G A F P E R S O N O P L Y S N I N G E R O M B E B O E R E. 1. Indledende bemærkninger Formål Dataansvar...

Introduktion til persondata forordningen

Lægemiddel industri foreningen

Transkript:

Vejledning m frtegnelse Januar 2018 0/20 31. januar 2018 Vejledning m frtegnelse

Indhld 1. Frrd 2 2. Frtegnelser ver behandlingsaktiviteter 3 2.1. Intrduktin 3 2.2. Frmål 3 2.3. Hvem skal føre frtegnelser? 3 2.4. Frmkrav 4 3. Hvilke plysninger skal en frtegnelse indehlde? 5 3.1. Frtegnelse fr dataansvarlige 5 3.2. Frtegnelse fr databehandlere 11 4. Undtagelsen til frtegnelseskravet 13 4.1. Skematisk versigt 13 4.2. Uddybende bemærkninger 14 4.2.1. Hvilke aktører kan gøre brug af undtagelsesbestemmelsen? 14 4.2.2. Hvrdan pgøres antallet af beskæftigede? 14 4.2.3. Tre væsentlige indskrænkninger i adgangen til at blive undtaget 14 5. Opsummering 16 6. Bilag 17 6.1. Eksempel på en frtegnelse ver behandlingsaktiviteter vedrørende HR (dataansvarlig) 17 1/20 Vejledning m frtegnelse

1. Frrd Databeskyttelsesfrrdningen finder anvendelse fra den 25. maj 2018. Sm nget nyt, stiller frrdningen krav m, at alle dataansvarlige g databehandlere fører interne frtegnelser ver deres behandling af persnplysninger. Frtegnelseskravet erstatter således den hidtil gældende anmeldelsesrdning. Kravet m at føre en frtegnelse skal ses sm en frlængelse af databeskyttelsesfrrdningens øgede fkus på ansvarlighed ( accuntability ). Denne ansvarlighedstanke indebærer fr det første, at den dataansvarlige g i visse tilfælde databehandleren har ansvaret fr, at frrdningens regler efterleves. Fr det andet, skal den dataansvarlige gså kunne påvise, at de behandlinger denne har ansvaret fr lever p til frrdningens regler. Frtegnelseskravet skal ses sm en naturlig indgangsvinkel til at kunne løfte denne pgave. Ved at føre en frtegnelse, vil du danne dig et verblik ver de behandlinger, sm du har iværksat. Et sådant verblik er en nødvendig frudsætning fr at kunne verhlde en række frpligtelser i databeskyttelsesfrrdningen, såsm: vervejelser m, hvilke plysninger man kan behandle, håndtering af indsigtsbegæringer g anmeldelser af brud på persndatasikkerheden. Sm det vil kunne ses, er frtegnelseskravet i vidt mfang et udtryk fr, at du skal dkumentere de vervejelser, du i medfør af frrdningens øvrige regler i frvejen skal gøre dig. Det er væsentligt at fremhæve, at kravet m at føre en frtegnelse udelukkende er tænkt sm en intern frpligtelse. Det betyder blandt andet, at du kun efter anmdning vil skulle sende din frtegnelse til Datatilsynet. Denne vejledning er skrevet sm en hjælp til dig, der sm dataansvarlig, eller databehandler er underlagt frtegnelseskravet. De eksempler, du vil finde i vejledningens bkse er medtaget fr at tydeliggøre kravets indhld. De er således ikke et udtryk fr udtømmende pregninger. Hvis du ønsker en mere detaljeret gennemgang af reglerne vedrørende frtegnelse, kan der bl.a. henvises til afsnittene 5.7.3., 5.7.4. g 5.8. i Betænkning nr. 1565/2017 m databeskyttelsesfrrdningen g de retlige rammer fr dansk lvgivning. Vejledningen vil løbende henvise til øvrige vejledninger, sm kan være nyttige fr dig at være bekendt med. En samlet versigt ver udstedte vejledninger kan findes på Datatilsynets hjemmeside. 2/20 Vejledning m frtegnelse

2. Frtegnelser ver behandlingsaktiviteter 2.1. Intrduktin Selve frpligtelsen til at føre en frtegnelse, fremgår af databeskyttelsesfrrdningens artikel 30. Denne bestemmelse fastlægger kravet til, at den dataansvarlige g dennes eventuelle repræsentant skal føre en frtegnelse ver behandlingsaktiviteter under deres ansvar. Herudver, skal databehandlere g deres eventuelle repræsentanter føre frtegnelse ver alle kategrier af behandlingsaktiviteter, der fretages på vegne af den dataansvarlige. 2.2. Frmål Frtegnelseskravet skal ses i frlængelse af databeskyttelsesfrrdningens fkus på ansvarlighed ( accuntability ). Ansvarlighedstanken indebærer, at den dataansvarlige har ansvaret fr at efterleve frrdningens regler g ligeledes skal være i stand til at påvise, at dette rent faktisk er tilfældet. Fr netp at kunne påvise, at en given behandling verhlder frrdningens regler er det væsentligt, at den dataansvarlige, eller databehandleren fører en frtegnelse ver behandlingsaktiviteter. Frtegnelseskravet er således tænkt sm et bidrag til den samlede dkumentatin af, hvrdan databeskyttelsesreglerne efterleves, g har til frmål at sikre, at den dataansvarlige danner sig det påkrævede verblik. 2.3. Hvem skal føre frtegnelser? Er du én af følgende aktører, vil du sm udgangspunkt være underlagt kravet m at føre frtegnelser ver behandlingsaktiviteter: Dataansvarlig En repræsentant 1 fr den dataansvarlige Databehandler En repræsentant fr databehandleren Der er visse ganske snævre tilfælde, hvr man er undtaget fra kravet m at føre en frtegnelse ver behandlingsaktiviteter. Fr en nærmere gennemgang af undtagelsesbestemmelsen, henvises til vejledningens afsnit 4. 1 Begrebet repræsentant dækker ver en fysisk, eller juridisk persn, der er etableret i Uninen, sm skriftligt er udpeget af den dataansvarlige, eller databehandleren, g sm repræsenterer disse, hvad angår deres respektive frpligtelser i medfør af frrdningen. Fr en nærmere gennemgang af begrebet henvises til databeskyttelsesfrrdningens artikel 4, nr. 17, g præambelbetragtning 80, samt betænkning nr. 1565, s. 67. 3/20 Vejledning m frtegnelse

De indhldsmæssige krav, der stilles til en frtegnelse vil være frskellige fr hhv. dataansvarlige g databehandlere. En nærmere gennemgang af sndringen mellem dataansvarlige g databehandlere, kan findes i Justitsministeriets g Datatilsynets Vejledning m dataansvarlige g databehandlere, der er at finde på Datatilsynets hjemmeside. 2.4. Frmkrav Man skal sm dataansvarlig eller databehandler leve p til de samme frmkrav. 2.4.1. Hvilke frmkrav stilles til en frtegnelse? Frtegnelser skal freligge skriftligt g elektrnisk. Det betyder, at du ikke udelukkende må føre frtegnelsen i et fysisk dkument eller efter hukmmelsen. Der stilles ikke herudver krav til frtegnelsens frmat. Du vil således med frdel kunne føre frtegnelsen i et skema, eller i et almindeligt tekstbehandlingsdkument. I vejledningens afsnit 6, vil du kunne finde et eksempel på, hvrdan en sådan frtegnelse kan se ud. 2.4.2. Skal jeg sende frtegnelsen til Datatilsynet? Nej, du eller dine repræsentanter skal ikke på eget initiativ sende frtegnelser til Datatilsynet. Kun når tilsynsmyndigheden anmder m at få stillet en frtegnelse til rådighed, vil du skulle udlevere en sådan. 4/20 Vejledning m frtegnelse

3. Hvilke plysninger skal en frtegnelse indehlde? Hvr afsnit 2.4. har skitseret de generelle krav til frtegnelsens frm, vil nærværende afsnit beskæftige sig med kravene til frtegnelsens indhld. Kravene hertil vil være frskellige alt efter, m du er dataansvarlig eller databehandler. 3.1. Frtegnelse fr dataansvarlige Den dataansvarlige g, hvis det er relevant dennes repræsentant, skal føre frtegnelser ver behandlingsaktiviteter under deres ansvar. Indledningsvist, er det væsentligt at være pmærksm på, at frtegnelser skal mfatte al behandlingsaktivitet. Det betyder, at både behandling af almindelige 2 (ikke følsmme persnplysninger) g særlige kategrier af persnplysninger 3 (følsmme persnplysninger) mfattes af pligten. Det samme gør sig gældende fr plysninger vedrørende straffedmme g lvvertrædelser 4. De plysninger, en frtegnelse sm minimum skal indehlde, er beskrevet nedenfr. Der er dg intet til hinder fr, at du af egen drift dkumenterer flere plysninger end disse. a) Navn g kntaktplysninger Frtegnelsen skal indehlde den dataansvarliges navn g kntaktplysninger. Når det er relevant, skal navn- g kntaktplysninger på følgende aktører gså angives; den fælles dataansvarlige, den dataansvarliges repræsentant g databeskyttelsesrådgiveren. b) Frmål I frtegnelsen skal du plyse m frmålene med behandlingen. Det betyder, at samtlige frmål med behandlingsaktiviteter under dit ansvar skal fremgå af frtegnelsen. I visse tilfælde vil du dg kunne samle flere behandlingsaktiviteter i én frtegnelse. Dette frudsætter, at de behandlingsaktiviteter du ønsker at samle kan frmuleres under ét samlet, lgisk g sammenhængende frmål. Det vil navnligt kunne være relevant fr delfrmål, sm har en indbyrdes sammenhæng, eksempeltvist frdi der er tale m den samme pgave eller det samme lvgrundlag fr behandlingerne. 2 Databeskyttelsesfrrdningen artikel 6 3 Databeskyttelsesfrrdningens artikel 9 4 Databeskyttelsesfrrdningens artikel 10 5/20 Vejledning m frtegnelse

Det betyder, at en privat dataansvarlig vil kunne føre frtegnelse ver frskellige behandlinger med samme frmål, såsm f.eks. en frtegnelse fr persnaleadministratin, en frtegnelse vedrørende kunder, en frtegnelse fr whistleblwerrdning, mv. Kravet m angivelse af frmål i frtegnelsen afspejler princippet m frmålsbestemthed 5, sm efter databeskyttelsesfrrdningen altid skal iagttages ved behandling af persnplysninger. Princippet frudsætter, at du sm dataansvarlig allerede frud fr iværksættelsen af en behandling, vurderer til hvilke udtrykkeligt angivne g saglige frmål en behandling af persnplysninger skal ske. Der er således med dette punkt alene tale m, at du skal dkumentere de vervejelser, du sm dataansvarlig i frvejen skal gøre dig. Knkrete eksempler Eksempel 1 En kmmunes behandling af persnplysninger i frbindelse med beskæftigelse g kmmunale ydelser vil rumme flere frskellige delfrmål. Sådanne delfrmål kan tænkes at være; udbetaling af kmmunale ydelser, råd g vejledning, kmmunal indsats vedrørende jbfrmidling, etc. Disse delfrmål egner sig imidlertid til at blive beskrevet under et samlet, lgisk g sammenhængende frmål, g kan derfr med frdel indgå i én frtegnelse. Frtegnelsens frmål vil derfr kunne angives sm værende; kmmunens behandling af persnplysninger i frbindelse med dennes frpligtelser inden fr beskæftigelse g kmmunale ydelser. Eksempel 2 På samme måde vil en privat dataansvarlig kunne samle flere delfrmål i én frtegnelse. En privat virksmheds behandling af persnplysninger i frbindelse med barsel, ferie g lønudbetaling kan eksempeltvist blive beskrevet under betegnelsen persnaleadministratin. c) Kategrier af registrerede g persnplysninger Frtegnelsen skal indehlde en beskrivelse af kategrierne af registrerede g kategrierne af de persnplysninger, der behandles. 1. Kategrier af registrerede Din beskrivelse af kategrier af registrerede vil helt naturligt afhænge af den behandling, du fretager. På vejledningens side 17, kan du finde et eksempel ver kategriangivelser på HR mrådet. Straks nedenfr kan du finde supplerende eksempler på, hvrdan sådanne angivelser kan tage sig ud. Eksempler på kategrier af registrerede Patienter Pårørende Afdøde Børn g unge under 18 Frretningsfrbindelser, herunder kunder, leverandører g samarbejdspartnere 5 Databeskyttelsesfrrdningens artikel 5, stk. 1, lit. b 6/20 Vejledning m frtegnelse

Klienter Medlemmer Ansøgere Nuværende g tidligere ansatte Børn Kunder 2. Kategrier af persnplysninger Fr at leve p til kravet m at beskrive kategrier af persnplysninger, skal du sm minimum kunne anføre, m du behandler artikel 6 (almindelige persnplysninger), artikel 9 (særlige kategrier af persnplysninger) eller artikel 10 (plysninger m strafbare frhld) plysninger. Hvad angår artikel 9 plysninger, skal du være pmærksm på, at det ikke vil være tilstrækkeligt i generelle vendinger at anføre, at der behandles sådanne plysninger. Du skal med andre rd kunne specificere, hvilke nærmere bestemte typer af artikel 9 plysninger, du behandler. På vejledningens side 17 g 18, kan du finde et eksempel på, hvrdan en sådan pstilling kan tage sig ud. Hvad er særlige kategrier af persnplysninger? Særlige kategrier af persnplysninger, defineres på udtømmende vis ved frrdningens artikel 9. Omfattet er behandling af persnplysninger m: Race eller etnisk prindelse Plitisk, religiøs eller filsfisk verbevisning Fagfreningsmæssigt tilhørsfrhld Genetiske data Bimetriske data med henblik på entydigt at identificere en fysisk persn Helbredsplysninger Seksuelle frhld eller seksuel rientering Ud ver de minimumskrav, der stilles kan du af egen drift vælge at tydeliggøre, hvilke plysninger der er tale m. Nedenstående tabel indehlder eksempler på sådanne specificeringer. Eksempler på kategrier af persnplysninger Flkeregisterplysninger Straffeattest Oplysninger vedrørende sikkerhedsgdkendelse Persnlighedstests Kntnummer Pensinsfrhld Ferie g andet fravær Faglige kvalifikatiner Lønplysninger Oplysninger m sygefravær Sciale prblemer Familiære relatiner Persnnummer Kntaktplysninger Oplysninger m løn Oplysninger m øknmiske frhld 7/20 Vejledning m frtegnelse

d) Kategrier af mdtagere ved videregivelse Når du enten videregiver eller vil videregive persnplysninger, skal frtegnelsen indehlde plysninger m kategrien af mdtagere. Hvis persnplysninger videregives til en internatinal rganisatin, eller mdtageren befinder sig i et tredjeland 6, vil dette gså skulle fremgå af frtegnelsen. Du skal med andre rd kunne krtlægge, m der sker, eller vil ske, en videregivelse af persnplysninger, g i givet fald angive, hvem mdtagerne er. Kun de verførsler, der er regelmæssige, skal anføres i frtegnelsen. Det betyder blandt andet, at verførsler mellem myndigheder skal nævnes, hvis de sker på regelmæssigt basis. Eksempler på kategrier af mdtagere Oplysninger kan videregives til: (Andre) ffentlige myndigheder, f.eks. SKAT PBS med henblik på betalingsfrmidling Pensinskasser Andre elever/frældre Skleftfirma e) Overførsler til tredjelande g internatinale rganisatiner Hvr det er relevant, skal du i frtegnelsen plyse m verførsler af persnplysninger til et tredjeland eller en internatinal rganisatin 7. I tilfælde, hvr sådanne verførsler fretages med hjemmel i frrdningens artikel 49, stk. 1, andet afsnit, m frnødne garantier fr en verførsel i henhld til artikel 46 skal du vedlægge dkumentatin fr de passende garantier 8. Det betyder, at du sm dataansvarlig skal gøre dig klart, m der vil ske verførsel af persnplysninger til tredjelande eller internatinale rganisatiner. I bekræftende fald, skal du angive disse mdtagere i frtegnelsen. Kravet m, at du skal vedlægge dkumentatin fr passende garantier er ikke en nyskabelse. Efter persndatalvens regler, var en frudsætning fr anvendelsen af det tilsvarende hjemmelsgrundlag til tredjelandsverførsler, at Datatilsynets tilladelse blev indhentet. Fr at pnå denne tilladelse skulle den dataansvarlige kunne dkumentere eksistensen af passende garantier. 6 En intrduktin til begreberne tredjeland g internatinal rganisatin kan findes i Vejledning m verførsel af persnplysninger til tredjelande. 7 Se nte 6 8 En nærmere gennemgang af verførsler i henhld til artikel 49, stk. 1, andet afsnit henvises til Vejledning m verførsel af persnplysninger til tredjelande. 8/20 Vejledning m frtegnelse

Frrdningen fører med andre rd blt til, at du nu udtrykkeligt skal føre en frtegnelse ver disse i frvejen definerede passende garantier. f) Slettefrister Hvis det er muligt, skal du i frtegnelsen plyse m de frventede tidsfrister fr sletning. Sådanne slettefrister skal angives fr de frskellige kategrier af plysninger, du behandler (se herved punkt c, nr. 2 venfr). Der lægges med andre rd ikke p til, at du skal angive en slettefrist fr hele behandlingen. Det er væsentligt at hæfte sig ved, at frrdningen pstiller et generelt krav m, at du sm dataansvarlig ikke pbevarer persnplysninger på en måde, der giver dig mulighed fr at identificere den registrerede i længere tid end det, der er nødvendigt til behandlingsfrmålet (princippet m pbevaringsbegrænsning) 9. Det betyder, at du løbende skal vurdere, m det saglige frmål med behandlingen er pfyldt, g plysningerne derfr skal slettes. I de situatiner, hvr der er fastsat generelle slettefrister, følger det dg af Datatilsynets nuværende praksis, at en dataansvarlig myndighed ikke har pligt til løbende at gennemgå samtlige sager, dkumenter, mv., med henblik på at sikre, at der ikke pbevares plysninger i strid med princippet m pbevaringsbegrænsning. Det frudsætter, at myndigheden har prcedurer sm sikrer, at der sker sletning i verensstemmelse med fastsatte frister. Angivelse af slettefrister er således blt et krav m, at du dkumenterer de vervejelser, du sm dataansvarlig i frvejen skal gøre dig. Eksempler på slettefristangivelser Frskning g statistik: Oplysninger m brgere g ansatte, der behandles i frbindelse med myndighedens frskning g statistik, slettes senest ved undersøgelsens afslutning, eller når statistikken er udarbejdet. Whistleblwerrdninger: I tilfælde af, at plysningerne ikke er krrekte, eller hvis indberetningen er åbenbart grundløs, slettes plysningerne straks fra whistleblwerrdningen. Hvis der fretages anmeldelse til pliti, Finanstilsynet eller anden relevant myndighed slettes plysningerne straks efter afslutningen af sagen hs den pågældende myndighed, jf. dg nedenfr. Hvis der på baggrund af de indsamlede plysninger gennemføres en disciplinær sanktin ver fr den ansatte, eller der i øvrigt freligger grunde til, at det er sagligt g nødvendigt frtsat at pbevare plysninger m den ansatte, vil plysningerne blive pbevaret i den pågældendes persnalemappe. Efter fratrædelse pbevares plysninger m den ansatte i p til 5 år. Alternative behandlere klientjurnal: Sletning fretages efter anmdning fra klienten g senest 5 år efter sidste kntakt. 9 Databeskyttelsesfrrdningens artikel 5, stk.1 lit. e 9/20 Vejledning m frtegnelse

g) Tekniske g rganisatriske franstaltninger Hvis det er muligt, skal frtegnelsen indehlde en generel beskrivelse af de tekniske g rganisatriske sikkerhedsfranstaltninger, der er mhandlet i frrdningens artikel 32, stk. 1. Frrdningens krav m, at sådanne plysninger indgår i frtegnelsen, skal ses i lyset af, at du sm dataansvarlig i medfør af artikel 32 skal gennemføre en passende sikkerhed fr behandlingen af persnplysninger. Hertil kmmer, at du skal kunne påvise, at du rent faktisk efterlever disse krav 10. Eksempler på franstaltninger Tekniske franstaltninger Arbejdsbetinget adgang Al datatransmissin g lagring af data sker krypteret Kun de X persner, der aktuelt er sikkerhedsgdkendt i henhld til sikkerhedscirkulæret XXXX, har adgang til de elektrnisk registrerede plysninger De elektrnisk registrerede plysninger er lagret på en server, hvrpå der er installeret aktive virusscannere med henblik på løbende autmatisk viruscheck mv. Der er etableret backup g genetableringsprcedure fr alle servere Der er alene adgang til arbejdsstatiner med individuelt brugernavn g passwrd Arbejdsstatiner har screensaver passwrd, g der er installeret antivirus prgram Adgang er baseret på bruger id g et persnligt passwrd, der er minimum X antal tegn Der fretages kntrl med afviste adgangsfrsøg Der bruges VPN g kryptering i frbindelse med fjernarbejdspladser g andre mbile devices. Organisatriske franstaltninger Medarbejdertræning g videreuddannelse Certificering af medarbejdere, der arbejder med persndata Etablering af prcedurer g plitikker fr behandling g kmmunikatin af persnplysninger 10 Databeskyttelsesfrrdningens artikel 24, stk. 1 10/20 Vejledning m frtegnelse

3.2. Frtegnelse fr databehandlere Sm nget nyt, intrducerer databeskyttelsesfrrdningen et krav m, at databehandleren g dennes eventuelle repræsentant skal føre en frtegnelse. Det betyder, at både dataansvarlige g databehandlere vil skulle føre frtegnelse ver en given behandling. De plysninger, du sm databehandler skal medtage i din frtegnelse pregnes nedenfr. a) Navn- g kntaktplysninger Frtegnelser skal indehlde navn- g kntaktplysninger på databehandleren, eller databehandlerne, g den dataansvarlige på hvis vegne databehandleren handler. Når det er relevant, skal frtegnelsen ligeledes indehlde navn- g kntaktplysninger på den dataansvarliges eller databehandlerens repræsentant g databeskyttelsesrådgiver. b) Kategrier af behandlinger Sm databehandler, skal du føre frtegnelse ver de kategrier af behandlinger, du fretager på vegne af den enkelte dataansvarlige. Frtegnelsespligten dækker ver alle de kategrier af behandlinger, sm du behandler på vegne af en given dataansvarlig. Eksempel: Standardiserede tjenester I tilfælde, hvr databehandleren udbyder en standardiseret tjeneste (eks. en clud løsning), kan databehandleren have en interesse i at perere med én frtegnelse fr behandlingen, hvri samtlige relevante dataansvarlige plistes. Sm i afsnit 2.4. nævnt stiller frrdningen ikke stringente krav til frtegnelsens frm, ligesm der ikke i frrdningen er hldepunkter fr at antage, at det med frtegnelseskravet har været hensigten at pålægge databehandlere g dataansvarlige nye finansielle byrder (se hertil præambelbetragtning nr. 89). I det mfang, der er tale m standardiserede tjenester ses der ikke at være nget til hinder fr, at databehandleren pererer med én frtegnelse. Det frudsætter dg helt grundlæggende, at de indhldsmæssige krav (a d, i dette kapitel) verhldes. c) Overførsler til et tredjeland eller internatinal rganisatin Hvr det er relevant, skal du i frtegnelsen plyse m verførsler af persnplysninger til et tredjeland eller en internatinal rganisatin 11. I tilfælde, hvr sådanne verførsler fretages med hjemmel i frrdningens artikel 49, stk. 1, andet afsnit, m frnødne garantier fr en verførsel i henhld til artikel 46, skal du vedlægge dkumentatin fr de passende garantier. 11 En intrduktin til begreberne tredjeland g internatinal rganisatin kan findes i Vejledning m verførsel af persnplysninger til tredjelande. 11/20 Vejledning m frtegnelse

d) Tekniske g rganisatriske franstaltninger Hvis det er muligt, skal frtegnelsen indehlde en generel beskrivelse af de tekniske g rganisatriske sikkerhedsfranstaltninger, der er mhandlet i frrdningens artikel 32, stk. 1. Frrdningens krav m, at sådanne plysninger indgår i frtegnelsen, skal ses i lyset af, at du sm databehandler i medfør af artikel 32 er frpligtet til at sikre en passende sikkerhed fr behandlingen af persnplysninger. Du er med andre rd frpligtet til at efterleve frrdningens krav til behandlingssikkerhed fr så vidt angår en behandling, du fretager på vegne af den dataansvarlige. Samtidigt skal du være i stand til at påvise, at der er gennemført passende sikkerhedsfranstaltninger i medfør af artikel 32. 12/20 Vejledning m frtegnelse

4. Undtagelsen til frtegnelseskravet Virksmheder g rganisatiner, der beskæftiger under 250 persner kan sm udgangspunkt undtages fra frtegnelseskravet. Denne undtagelse er dg, sm det vil ses, ganske snæver frdi behandlingsaktiviteter, der mfattes af én eller flere af de tre indskrænkninger, der nævnes nedenfr, ikke vil være undtaget fra frtegnelseskravet. Afsnit 4.1. indehlder en skematisk versigt ver den tankerække, du skal følge, når du skal finde ud af, m du er undtaget fra frtegnelseskravet. I afsnit 4.2. vil de begreber, der skitseres i nedenstående versigt, blive uddybet. 4.1. Skematisk versigt 13/20 Vejledning m frtegnelse

4.2. Uddybende bemærkninger 4.2.1. Hvilke aktører kan gøre brug af undtagelsesbestemmelsen? Frrdningens undtagelsesbestemmelse retter sig alene md dataansvarlige g databehandlere, der udgør et fretagende eller en rganisatin. Det betyder, at ffentlige myndigheder ikke kan undtages fra frtegnelseskravet. Frrdningen definerer et fretagende sm; en fysisk, eller juridisk persn, der udøver øknmisk aktivitet, uanset dens retlige status, herunder partnerskaber eller sammenslutninger, der regelmæssigt udøver øknmisk aktivitet 12. Der er med andre rd tale m virksmheder. Begrebet rganisatiner er ikke eksplicit defineret i frrdningen. Det må dg antages, at andre aktører end virksmheder vil kunne påberåbe sig undtagelsen, herunder blandt andet freninger. Hertil kmmer, at privatpersners (eksempeltvist en blgger) behandling af persnplysninger, kan være mfattet af undtagelsen fr frtegnelseskravet, medmindre denne vedkmmendes behandling fretages sm led i persnlige eller familiemæssige aktiviteter g dermed falder udenfr frrdningens anvendelsesmråde 13. 4.2.2. Hvrdan pgøres antallet af beskæftigede? Det er kun virksmheder g rganisatiner, der beskæftiger under 250 persner, der kan benytte sig af undtagelsen. Antallet af beskæftigede skal beregnes ud fra, hvem der er ansat i den pågældende virksmhed, eller rganisatin. Opgørelsen skal tage højde fr antallet af gennemsnitlige heltidsbeskæftigede persner i et regnskabsår. 4.2.3. Tre væsentlige indskrænkninger i adgangen til at blive undtaget Afgørende fr, m en behandlingsaktivitet kan undtages fra frtegnelseskravet bliver i praksis m behandlingen kan mfattes af én eller flere af de tre indskrænkninger, der pregnes i frrdningens artikel 30, stk. 5, 2. led. Indskrænkning 1: Behandlingsaktiviteter, der sandsynligvis vil medføre en risik fr registreredes rettigheder g frihedsrettigheder, kan ikke undtages. Det styrende fr denne vurdering er den grad af risik sm behandlingen rummer fr den registreredes rettigheder g frihedsrettigheder. Indskrænkning 2: Behandlingen fregår ftere end blt lejlighedsvist. Et eksempel på en behandling, der typisk ikke vil være lejlighedsvis er behandlingen af persnplysninger i frbindelse med sædvanlig persnaleadministratin. Det må verrdnet set frventes, at denne indskrænkning medfører, at undtagelsesbestemmelsen vil få et relativt snævert anvendelsesmråde. Dette er illustreret ved nedenstående eksempel. 12 Databeskyttelsesfrrdningens artikel 4, nr. 18 13 Databeskyttelsesfrrdningens artikel 2, stk. 2, lit. c 14/20 Vejledning m frtegnelse

Eksempel: Kntingentbetaling En mindre medlemsfrening ønsker at pkræve kvartalvis kntingent fra freningens medlemmer. Fr at kunne frestå denne øvelse har freningen alt efter, hvilken knstruktin der er valgt behv fr at behandle en række persnplysninger m det enkelte medlem (eks. navn g adresse). Denne behandling vil ikke være lejlighedsvis uagtet, at kntingentpkrævningen udelukkende fretages en gang i kvartalet. Det skyldes, at freningen vil pbevare persnplysningerne i den samlede tidsperide. En sådan pbevaring er i persndataretlig frstand et udtryk fr en behandling. Freningens kvartalvise kntingentpkrævning kan med andre rd ikke anskues særskilt fra den kntinuerlige pbevaring. Behandlingen er ikke lejlighedsvis g derfr ikke mfattet af undtagelsen til frtegnelseskravet Indskrænkning 3: Behandlingen indehlder særlige kategrier af persnplysninger 14 (følsmme persnplysninger), eller persnplysninger m straffedmme g lvvertrædelser 15. Hvis du efter en knkret vurdering når frem til, at den behandling du fretager er mfattet af mindst en af vennævnte indskrænkninger, skal du føre en frtegnelse gså selvm du beskæftiger under 250 persner. 14 Databeskyttelsesfrrdningens artikel 9, stk. 1 15 Databeskyttelsesfrrdningens artikel 10 15/20 Vejledning m frtegnelse

5. Opsummering Efter at have læst denne vejledning skulle du gerne være blevet bekendt med nedenstående principper, sm kan være væsentlige at kende i frhld til frtegnelseskravet. Både dataansvarlige, databehandlere g disses repræsentanter er frpligtede til at føre en frtegnelse ver behandlingsaktiviteter. Frtegnelser skal være skriftlige, elektrniske g skal kun efter anmdning udleveres til Datatilsynet. Fr en dataansvarlig skal frtegnelsen indehlde plysninger m; 1) navn g kntaktplysninger på dig selv, en eventuel repræsentant g databeskyttelsesrådgiver 2) frmålene med behandlingen 3) en beskrivelse af kategrierne af registrerede g kategrierne af persnplysninger 4) de kategrier af mdtagere sm plysningerne er eller vil blive videregivet til, herunder mdtagere i tredjelande g internatinale rganisatiner 5) når det er relevant, plysninger m verførsel til tredjeland(e) eller internatinal(e) rganisatin(er) samt dkumentatin fr passende garantier, når verførslen fretages med hjemmel i frrdningens artikel 49, stk. 1, andet afsnit 6) hvis det er muligt, de frventede frister fr sletning af de frskellige kategrier af plysninger 7) hvis det er muligt en generel beskrivelse af tekniske g rganisatriske sikkerhedsfranstaltninger. Sm databehandler skal din frtegnelse indehlde plysninger m; 1) navn g kntaktplysninger på dig selv, de dataansvarlige på vegne af hvem du fretager behandlingen samt dine g den dataansvarlige eventuelle repræsentanter g databeskyttelsesrådgivere, 2) alle kategrier af behandlinger, du fretager på vegne af den enkelte dataansvarlige 3) når det er relevant, plysninger m verførsel til tredjeland(e) eller internatinal(e) rganisatin(er) samt dkumentatin fr passende garantier, når verførslen fretages med hjemmel i frrdningens artikel 49, stk. 1, andet afsnit 4) hvis det er muligt en generel beskrivelse af tekniske g rganisatriske sikkerhedsfranstaltninger. Hvis du er en virksmhed, eller en rganisatin g beskæftiger under 250 persnder, kan du verveje, m du vil kunne undtages fra kravet m at føre en frtegnelse. Du er pmærksm på, at adgangen til at blive undtaget i praksis vil være ganske snæver. 16/20 Vejledning m frtegnelse

6. Bilag 6.1. Eksempel på en frtegnelse ver behandlingsaktiviteter vedrørende HR (dataansvarlig) Dataansvarlig Frmål (-ene) Kategrierne af registrerede g kategrierne af persnplysningerne Myndighedens/ virksmhedens navn, CVR-nr. g kntaktplysninger (adresse, hjemmeside, telefnnummer g e-mail) Den fælles dataansvarlige samt dennes kntaktplysninger (adresse, hjemmeside, telefnnummer g e-mail) Den dataansvarliges repræsentant samt dennes kntaktplysninger (adresse, hjemmeside, telefnnummer g e-mail) (Offentlige myndigheder er ikke mfattet, jf. artikel 27, stk. 2, litra b) Myndighedens/ virksmhedens databeskyttelsesrådgiver samt dennes kntaktplysninger (adresse, hjemmeside, telefnnummer g e-mail) Behandlingens eller behandlingernes frmål (et samlet, lgisk sammenhængende frmål med en behandling eller en række af behandlinger, sm hermed angives sm ét frmål ud af alle samlede frmål hs den dataansvarlige) Kategri af registrerede persner (eksempelvis brger/kunder, partsrepræsentanter nuværende eller tidligere ansatte, andre virksmheder, andre myndigheder mv.) Oplysninger, sm behandles m de registrerede persner (afkryds g beskriv de typer af plysninger, sm er mfattet af behandlingsaktiviteterne) Københavns Kmmune Øknmifrvaltningen Rådhuset 1599 København V CVR: DPO, Anders Andersen Kngestien XXX, 1111 Kngsted www.hjemmeside.dk + 45 88 88 88 88 dp@andersandersen.dk Persnaleadministratin Der behandles plysninger m følgende kategrier af registrerede persner: a) Ansøgere b) Ansatte c) Tidligere ansatte d) Pårørende e) Brger der henvender sig til Københavns Kmmune f) Plitikere Oplysninger, sm indgår i den specifikke behandling. Beskriv: Identifikatinsplysninger X Oplysninger vedrørende X ansættelsesfrhldet til brug fr administratin, 17/20 Vejledning m frtegnelse

Mdtagerne af persnplysningerne Tredjelande g internatinale rganisatiner Sletning Tekniske g rganisatriske sikkerhedsfranstaltninger Kategrier af mdtagere sm plysninger er eller vil blive videregivet til herunder mdtagere i tredjelande g internatinale rganisatiner (eksempelvis andre myndigheder, virksmheder, brger/kunder mv.) Oplysninger m verførelse af persnplysninger til tredjelande eller internatinale rganisatiner (eksempelvis databehandleres placering i tredjelande, databehandlers brug af cludløsninger placeret i tredjelande) Tidspunkt fr sletning af plysninger (de frventede tidsfrister fr sletning af de frskellige kategrier af plysninger) Generel beskrivelse af tekniske g rganisatriske sikkerhedsfranstaltninger (hvis muligt skal der gives en generel beskrivelse af de tekniske g rganisatriske sikkerhedsfranstaltninger, jf. artikel 32, stk. 1) herunder stilling g tjenestested, lønfrhld, plysninger af relevans fr lønindehldelse, persnalepapirer, uddannelse g sygefravær. Race eller etnisk prindelse Plitisk, religiøs eller filsfisk verbevisning Fagfreningsmæssigt tilhørsfrhld X Helbredsplysninger X herunder genetisk data Bimetrisk data med X henblik på identifikatin Seksuelle frhld eller seksuel rientering Strafbare frhld X 1. Offentlige myndigheder (så vidt muligt myndighedens navn, f.eks. SKAT) 2. Banker 3. Pensinskasser Nej (Angivelse af virksmhed/ samarbejdspartner, hvis denne er placeret i tredjeland) Oplysninger m tidligere ansatte slettes senest X år efter afslutningen af den jurnalperide, hvr persnalesagen er afsluttet. Oplysninger m ansøgere slettes senest X måneder efter afslutningen af den jurnalperide, hvr sagen er afsluttet. Oplysninger verføres løbende til Rigsarkivet efter arkivlvens regler g Statens Arkivers bestemmelser herm. Behandling af persnplysninger i frbindelse med HR-arbejde sker i verensstemmelse med interne retningslinjer, sm bl.a. fastsætter rammerne fr autrisatin- g adgangsstyring g lgning. Persnplysninger pbevares i pseudnymiseret g i kryptret frm g transmitteres krypteret. Fysisk materiale pbevares aflåst. 18/20 Vejledning m frtegnelse

Der anvendes følgende sikkerhedsstandarder: ISOXXXXX. 19/20 Vejledning m frtegnelse

Dat 31. januar 2018 Justitsministeriet Sltshlmsgade 10 1216 København K Telefn 72 26 84 00 Email jm@jm.dk ISBN 978-88-98564-35-7 Ft Scanpix 20/20 Vejledning m frtegnelse

2024 © DocPlayer.dk Fortrolighedspolitik | Servicevilkår | Feedback