Persondataforordningen: Skal mindre virksomheder også føre fortegnelser?
Et stort antal små og mellemstore virksomheder er også forpligtet til at føre fortegnelser over deres behandlingsaktiviteter – både som dataansvarlig og databehandler. Det skyldes, at selvom mindre virksomheder som udgangspunkt er undtaget fra fortegnelseskravet, er der tale om en snæver undtagelse. I dette nyhedsbrev stiller vi skarpt på fortegnelseskravet.
For mange virksomheder fremstår forordningens fortegnelseskrav som en omfattende opgave, og selvom reglerne tager særlige hensyn til små og mellemstore virksomheder, er der tale om en snæver undtagelse:
Virksomheder med mindre end 250 medarbejdere skal som udgangspunkt ikke føre fortegnelser, medmindre deres behandlingsaktiviteter:
- Er risikobetonede
- Ikke er lejlighedsvise
- Omfatter følsomme oplysninger, straffeattester eller lovovertrædelser
Undtagelsen er derfor begrænset, og kan ikke anvendes hvis bare én af ovenstående behandlingsaktiviteter finder anvendelse. Derfor er det afgørende, at mindre virksomheder også undersøger, hvornår og hvilke af deres behandlingsaktiviteter, der skal føres fortegnelser over.
Medfører vores behandlingsaktiviteter en risiko?
Virksomheder skal først og fremmest undersøge, hvornår behandlingsaktiviteter kan medføre en risiko for den registreredes rettigheder. Det kræver eksempelvis en klarlæggelse af, om der anvendes ny teknologi eller om behandlingsaktiviteter medfører sociale eller økonomiske konsekvenser, omfatter følsomme oplysninger eller omfatter et stort antal registrerede.
Modsat forordningens krav om konsekvensanalyser, der skal udarbejdes når behandlingsaktiviteter udgør en høj risiko, skal virksomheder her være opmærksomme på, at fortegnelseskravet allerede udløses, når behandlingen kan medføre en risiko.
Er vores behandlingsaktiviteter lejlighedsvise?
Uanset om behandlingsaktiviteterne ikke er risikobetonede, skal virksomheder undersøge, hvilke behandlinger, der ikke kun er lejlighedsvise. Virksomheden kan blandt andet vurdere, om behandlingen foretages med planlagte eller jævnlige tidsintervaller og/eller er en del af virksomhedens normale forretningsgang.
De fleste små og mellemstore virksomheder behandler jævnligt deres medarbejderes persondata i forbindelse med ansættelse eller anden HR-administration. Det betyder, at fordi sådanne behandlinger ikke kan betegnes som lejlighedsvise, omfattes de af fortegnelseskravet.
Behandler vi følsomme personoplysninger?
Selvom behandlingsaktiviteter hverken medfører en risiko og kun sker lejlighedsvist, skal virksomheder under alle omstændigheder føre fortegnelser over aktiviteter, der omfatter følsomme oplysninger eller oplysninger om lovovertrædelser.
Det betyder, at virksomheder, der eksempelvis i forbindelse med rekruttering af nye medarbejdere. modtager oplysninger om ansøgerens politiske eller religiøse overbevisning, helbredsoplysninger eller fagforeningsmæssige tilhørsforhold eller indhenter straffeattester skal føre fortegnelser herover – også selvom behandlingsaktiviteterne kun sker sjældent.
IUNO mener
Forordningens snævre undtagelse til fortegnelseskravet betyder, at en lang række små og mellemstore virksomheder også skal føre fortegnelser over sine behandlingsaktiviteter. Virksomheder bør derfor være opmærksomme på disse undtagelser og få foretaget en konkret vurdering af, hvilke aktiviteter virksomheden skal føre fortegnelse over.
IUNO anbefaler, at virksomheder under alle omstændigheder får foretaget en vurdering af fordelene ved at udarbejde tilpassede fortegnelser over de forskellige behandlingsaktiviteter, fordi fortegnelser netop kan bidrage med et overblik over virksomhedens datastrømme og sikre overholdelse med forordningens strenge krav.
For mange virksomheder fremstår forordningens fortegnelseskrav som en omfattende opgave, og selvom reglerne tager særlige hensyn til små og mellemstore virksomheder, er der tale om en snæver undtagelse:
Virksomheder med mindre end 250 medarbejdere skal som udgangspunkt ikke føre fortegnelser, medmindre deres behandlingsaktiviteter:
- Er risikobetonede
- Ikke er lejlighedsvise
- Omfatter følsomme oplysninger, straffeattester eller lovovertrædelser
Undtagelsen er derfor begrænset, og kan ikke anvendes hvis bare én af ovenstående behandlingsaktiviteter finder anvendelse. Derfor er det afgørende, at mindre virksomheder også undersøger, hvornår og hvilke af deres behandlingsaktiviteter, der skal føres fortegnelser over.
Medfører vores behandlingsaktiviteter en risiko?
Virksomheder skal først og fremmest undersøge, hvornår behandlingsaktiviteter kan medføre en risiko for den registreredes rettigheder. Det kræver eksempelvis en klarlæggelse af, om der anvendes ny teknologi eller om behandlingsaktiviteter medfører sociale eller økonomiske konsekvenser, omfatter følsomme oplysninger eller omfatter et stort antal registrerede.
Modsat forordningens krav om konsekvensanalyser, der skal udarbejdes når behandlingsaktiviteter udgør en høj risiko, skal virksomheder her være opmærksomme på, at fortegnelseskravet allerede udløses, når behandlingen kan medføre en risiko.
Er vores behandlingsaktiviteter lejlighedsvise?
Uanset om behandlingsaktiviteterne ikke er risikobetonede, skal virksomheder undersøge, hvilke behandlinger, der ikke kun er lejlighedsvise. Virksomheden kan blandt andet vurdere, om behandlingen foretages med planlagte eller jævnlige tidsintervaller og/eller er en del af virksomhedens normale forretningsgang.
De fleste små og mellemstore virksomheder behandler jævnligt deres medarbejderes persondata i forbindelse med ansættelse eller anden HR-administration. Det betyder, at fordi sådanne behandlinger ikke kan betegnes som lejlighedsvise, omfattes de af fortegnelseskravet.
Behandler vi følsomme personoplysninger?
Selvom behandlingsaktiviteter hverken medfører en risiko og kun sker lejlighedsvist, skal virksomheder under alle omstændigheder føre fortegnelser over aktiviteter, der omfatter følsomme oplysninger eller oplysninger om lovovertrædelser.
Det betyder, at virksomheder, der eksempelvis i forbindelse med rekruttering af nye medarbejdere. modtager oplysninger om ansøgerens politiske eller religiøse overbevisning, helbredsoplysninger eller fagforeningsmæssige tilhørsforhold eller indhenter straffeattester skal føre fortegnelser herover – også selvom behandlingsaktiviteterne kun sker sjældent.
IUNO mener
Forordningens snævre undtagelse til fortegnelseskravet betyder, at en lang række små og mellemstore virksomheder også skal føre fortegnelser over sine behandlingsaktiviteter. Virksomheder bør derfor være opmærksomme på disse undtagelser og få foretaget en konkret vurdering af, hvilke aktiviteter virksomheden skal føre fortegnelse over.
IUNO anbefaler, at virksomheder under alle omstændigheder får foretaget en vurdering af fordelene ved at udarbejde tilpassede fortegnelser over de forskellige behandlingsaktiviteter, fordi fortegnelser netop kan bidrage med et overblik over virksomhedens datastrømme og sikre overholdelse med forordningens strenge krav.
Lignende
Holdet
Alexandra
Jensen
Juridisk rådgiver
Anders
Etgen Reitz
Partner
Caroline
Thorsen
Junior juridisk assistent
Cecillie
Groth Henriksen
Advokat
Johan
Gustav Dein
Advokatfuldmægtig
Julie
Meyer
Senior juridisk assistent
Kirsten
Astrup
Managing associate (orlov)
Maria
Kjærsgaard Juhl
Juridisk rådgiver
Sofie
Aurora Braut Bache
Managing associate