Hvordan skaber organisationer et overblik over eksisterende databehandlingsaktiviteter? Og hvilke tekniske og operationelle aspekter skal der tages højde for?

GDPR’s artikel 30 kræver, at der er fuldt overblik over de databehandlingsaktiviteter, som finder sted i en organisation. Den kræver også, at disse aktiviteter dokumenteres, og at organisationer har en proaktiv tilgang og arbejder på tværs af organisationen.

Hvad betyder det for de dataansvarlige?
De dataansvarlige vil være ansvarlige for at føre fortegnelser over alle de behandlingsaktiviteter, som finder sted inden for organisationen. Disse fortegnelser, som skal være på skrift og i elektronisk form, skal indeholde følgende oplysninger:

1. Den dataansvarliges og, såfremt det er relevant, databeskyttelsesrådgiverens navn og adresse.
2. Formålet med databehandlingen.
3. En beskrivelse af kategorierne af både registrerede og personoplysninger.
4. Modtagerbeskrivelse, altså til hvem personoplysningerne er, eller vil blive, videregivet. Herunder modtagere i tredjelande eller internationale organisationer.
5. En beskrivelse af, hvordan personoplysninger videregives til et tredjeland eller en international organisation er inklusiv dokumentation af passende beskyttelsesforanstaltninger i forbindelse hermed.
6. De forventede tidsfrister for sletning af de forskellige datakategorier.
7. En general beskrivelse af de anvendte tekniske og organisatoriske sikkerhedsforanstaltninger.

Bemærk, at forpligtelsen ikke er gældende for organisationer, som beskæftiger mindre end 250 personer, med mindre persondataene er af en særlig karakter så som etnicitet, helbredsmæssige oplysninger, eller oplysninger om kriminel adfærd.

Derudover skal den dataansvarlige eller databehandleren ved anmodning gøre fortegnelserne tilgængelige for tilsynsmyndighederne.
Hvad betyder det for datbehandlere?

Generelt kræver GDPR ikke kun, at den dataansvarlige har mere ansvar. Den kræver også, at de involverede databehandlere har mere ansvar. Derfor er denne forpligtelse også gældende for databehandlere. Databehandlerne vil være ansvarlig for at føre fortegnelser over alle kategorier af behandlingsaktiviteter, som udføres på vegne af en dataansvarlig, såsom:

1. Navn og adresse på databehandleren eller databehandlerne, de dataansvarlige, og hvor det er relevant, den databeskyttelsesrådgiver, på hvis vegne databehandleren handler.
2. Databehandlingskategorier, som udføres på vegne af en dataansvarlig.
3. En beskrivelse af, hvordan personoplysninger videregives til et tredjeland eller en international organisation er inklusiv dokumentation af passende beskyttelsesforanstaltninger i forbindelse hermed.
4. En general beskrivelse af de anvendte tekniske og organisatoriske sikkerhedsforanstaltninger.
5. Operationelle og tekniske foranstaltninger.
Organisering af fortegnelserne kan være en udfordring. Især ved den type databehandlingsaktiviteter, som foregår decentralt i de enkelte afdelinger eller forretningsenheder.
Vi har dog et par praktiske tips og tricks til at koordinere strømmen af oplysninger, opbevare fortegnelserne og endnu vigtigere, vedligeholde fortegnelserne:

Involvér forretningen
Da databehandlingsaktiviteter finder sted på tværs af din organisation, er det vigtigt at identificere de interessenter, som spiller en rolle i udviklingen af et produkt, proces, system, applikation eller projekt. Disse medarbejdere har stor indsigt i databehandlingsaktiviteterne og vil kunne bidrage til at skabe og bevare overblikket. Involvér forretningen, når din organisation begynder at tænke på den underlæggende proces, som er nødvendig for at generere disse fortegnelser. Gør dem opmærksom på fordelene og gevinsten for din organisation.

Design en proces med klare roller og ansvar
Når dine interessenter er involveret, er næste skridt at fastlægge, hvordan fortegnelserne skal udarbejdes, tjekkes, registreres og holdes opdateret. Vær opmærksom på, at mange informationer sandsynligvis allerede er indhentet i forbindelse med udførelsen af konsekvensanalysen vedrørende databeskyttelse. Hvis der allerede findes en understøttende proces, så undersøg, i hvilken grad den kan tilpasses den nye proces, således at indsatsen koordineres. På den måde undgår forretningen at skulle levere den samme information to gange.

Sørg også for, at der bliver defineret klare roller og ansvarsområder i forbindelse med processudviklingen. Hav en klar ansvarsfordelingen, inklusiv hvordan informationerne kommer ind i et centralt register, og hvordan og hvornår informationerne derefter opdateres.
Glem ikke at involvere andre kompetencer så som it, compliance, indkøbsafdelingen og juridisk afdeling, da de også kan have stor glæde af informationerne. I de tilfælde, hvor databehandlere er og vil blive involveret, er det også vigtigt at medtænke fremtidige databehandleraftaler.

Opret et centralt register til fortegnelserne
De fortegnelser, der skal opbevares, bør opbevares centralt. Afhængigt af din organisations infrastruktur bør du undersøge, hvordan den grundlæggende proces kan understøttes. Organisationer skal ikke søge tilflugt i Excel-ark, hvor let det end måtte være. Et værktøj, som er beregnet til formålet, er til enhver tid at foretrække. På den måde vil et centralt system give dig overblik over de databehandlingsaktiviteter, som finder sted i organisationen. I dette scenarie er det vigtigt med passende adgangs- og autorisationsrettigheder, så ikke alle kan ændre informationer. Markedet for værktøjer til at beskytte persondata vokser hurtigt, og det vil være en god ide at overveje din organisations tekniske ønsker.

Det vil tage tid at overbevise forretningen om værdien af fortegnelserne. Man skal holde sig for øje, at udviklingen af processen, analysen og implementering af de tekniske foranstaltninger er tidskrævende. Derudover må man ikke glemme at holde styr på de eksisterende databehandlingsaktiviteter – det er ikke kun de nye databehandlingsaktiviteter, som skal registreres, men også de aktiviteter som finder og har fundet sted.

Der er dog også noget at vinde. Fortegnelserne vil give et overblik over alle databehandlingsaktiviteter i din organisation og vil derfor gøre det muligt for organisationen at få styr på, hvilke datakategorier som behandles, af hvem og hvorfor. Denne viden gør det muligt for organisationer at opnå synergieffekter, således at der gøres fælles indsats om projekter med samme eller lignende mål og/eller udfordringer. Dette vil give indsigt i risici og de nødvendige afhjælpende foranstaltninger og vil uundgåeligt resultere i, at organisationer bemyndiges til at gøre mere – og på en velordnet måde – med de personoplysninger, der er til rådighed.