Ny praksis om databehandlingsfortegnelser

Datatilsynet har i august måned 2020 gennemført tre tilsyn med kommuner, hvor fokus var på kontrol af opfyldelsen af kravet om, at dataansvarlige skal føre en fortegnelse over alle sine databehandlinger. Datatilsynet har nu opdateret sin vejledning til hvordan fortegnelsen bør udformes, fordi den hidtidige anbefaling ikke opfylder formålene med fortegnelsespligten.

De tre kontrolsager har en bred virkning

Datatilsynet har ikke offentliggjort en kopi af de tre kommuners behandlingsfortegnelser, men de ændringer, som er lavet i Datatilsynets anbefalede skabelon, er begrundet i konklusionerne af netop disse konkrete tilsyn. Derfor kan det med forsigtighed formodes, at konklusionerne i tilsynssagerne kan overføres direkte til den tidligere skabelon, som netop er revideret på baggrundet af tilsynssagerne.

Den nye anbefaling vil ligeledes have betydning for både den offentlige og private sektor.

Hvad er ændret?

Der er tale om en markant ændring i forhold til den tidligere anbefaling, som primært består i at øge gennemsigtigheden. Tidligere noteredes kategorier af registrerede personer, kategorier af registrerede oplysninger, og modtagere af registrerede oplysninger helt generelt for den samme ”afdeling” eller behandlingsområde, f.eks. ”HR”.

I den nye vejledning opdeles der således;

• for hver enkelt kategori af registrerede personer angives, hvilke oplysninger der registreres
• for hver enkelt kategori af modtagere angives både hvilke kategorier af registrerede personer der omfattes, og hvilke kategorier af oplysninger der modtages om hver individuel kategori af personer.

De interesserede kan finde den tidligere vejledning her (side 17), og den nye vejledning af august 2020 her (side 18).

Skal vi opdatere vores egen fortegnelse?

Det korte svar er: Ja.

Har man baseret sin nuværende fortegnelse på den tidligere anbefaling / skabelon, dvs. fra et tidligere tidspunkt end Datatilsynets vejledning af august 2020, bør man opdatere sin fortegnelse. Har man udviklet sin egen skabelon, bør man læse den nye vejledning og forholde sig til, om dette giver anledning til opdateringer.

I konklusionerne af de tre kontrolsager fastlagde tilsynet, at formålene bag fortegnelseskravet ikke var opfyldt. Formålet er ansvarlighed (accountability) og fortegnelsen er ifølge Datatilsynet et nød-vendigt værktøj for at tilsyn kan udføres, og for at den dataansvarlige kan dokumentere sin overholdelse af de persondataretlige regler.

Der er med andre ord tale om formål, som er helt centrale i især persondataforordningen og databeskyttelsesloven. Fremtiden må vise, hvor centralt Datatilsynet finder netop denne type opdatering i forhold til sanktion og kontrol af de dataansvarlige.

Læs mere om persondata (GDPR)