HR-jura Persondata

Persondataforordningen: Skal mindre virksomheder også føre fortegnelser?

19. november 2018

Et stort antal små og mellemstore virksomheder er også forpligtet til at føre fortegnelser over deres behandlingsaktiviteter – både som dataansvarlig og databehandler. Det skyldes, at selvom mindre virksomheder som udgangspunkt er undtaget fra fortegnelseskravet, er der tale om en snæver undtagelse. I dette nyhedsbrev stiller vi skarpt på fortegnelseskravet.

For mange virksomheder fremstår forordningens fortegnelseskrav som en omfattende opgave, og selvom reglerne tager særlige hensyn til små og mellemstore virksomheder, er der tale om en snæver undtagelse:

Virksomheder med mindre end 250 medarbejdere skal som udgangspunkt ikke føre fortegnelser, medmindre deres behandlingsaktiviteter:

  • Er risikobetonede
  • Ikke er lejlighedsvise
  • Omfatter følsomme oplysninger, straffeattester eller lovovertrædelser

Undtagelsen er derfor begrænset, og kan ikke anvendes hvis bare én af ovenstående behandlingsaktiviteter finder anvendelse. Derfor er det afgørende, at mindre virksomheder også undersøger, hvornår og hvilke af deres behandlingsaktiviteter, der skal føres fortegnelser over.

Medfører vores behandlingsaktiviteter en risiko?

Virksomheder skal først og fremmest undersøge, hvornår behandlingsaktiviteter kan medføre en risiko for den registreredes rettigheder. Det kræver eksempelvis en klarlæggelse af, om der anvendes ny teknologi eller om behandlingsaktiviteter medfører sociale eller økonomiske konsekvenser, omfatter følsomme oplysninger eller omfatter et stort antal registrerede.

Modsat forordningens krav om konsekvensanalyser, der skal udarbejdes når behandlingsaktiviteter udgør en høj risiko, skal virksomheder her være opmærksomme på, at fortegnelseskravet allerede udløses, når behandlingen kan medføre en risiko.

Er vores behandlingsaktiviteter lejlighedsvise?

Uanset om behandlingsaktiviteterne ikke er risikobetonede, skal virksomheder undersøge, hvilke behandlinger, der ikke kun er lejlighedsvise. Virksomheden kan blandt andet vurdere, om behandlingen foretages med planlagte eller jævnlige tidsintervaller og/eller er en del af virksomhedens normale forretningsgang.

De fleste små og mellemstore virksomheder behandler jævnligt deres medarbejderes persondata i forbindelse med ansættelse eller anden HR-administration. Det betyder, at fordi sådanne behandlinger ikke kan betegnes som lejlighedsvise, omfattes de af fortegnelseskravet.

Behandler vi følsomme personoplysninger?

Selvom behandlingsaktiviteter hverken medfører en risiko og kun sker lejlighedsvist, skal virksomheder under alle omstændigheder føre fortegnelser over aktiviteter, der omfatter følsomme oplysninger eller oplysninger om lovovertrædelser.

Det betyder, at virksomheder, der eksempelvis i forbindelse med rekruttering af nye medarbejdere. modtager oplysninger om ansøgerens politiske eller religiøse overbevisning, helbredsoplysninger eller fagforeningsmæssige tilhørsforhold eller indhenter straffeattester skal føre fortegnelser herover – også selvom behandlingsaktiviteterne kun sker sjældent.

IUNO mener 

Forordningens snævre undtagelse til fortegnelseskravet betyder, at en lang række små og mellemstore virksomheder også skal føre fortegnelser over sine behandlingsaktiviteter. Virksomheder bør derfor være opmærksomme på disse undtagelser og få foretaget en konkret vurdering af, hvilke aktiviteter virksomheden skal føre fortegnelse over.

IUNO anbefaler, at virksomheder under alle omstændigheder får foretaget en vurdering af fordelene ved at udarbejde tilpassede fortegnelser over de forskellige behandlingsaktiviteter, fordi fortegnelser netop kan bidrage med et overblik over virksomhedens datastrømme og sikre overholdelse med forordningens strenge krav.

For mange virksomheder fremstår forordningens fortegnelseskrav som en omfattende opgave, og selvom reglerne tager særlige hensyn til små og mellemstore virksomheder, er der tale om en snæver undtagelse:

Virksomheder med mindre end 250 medarbejdere skal som udgangspunkt ikke føre fortegnelser, medmindre deres behandlingsaktiviteter:

  • Er risikobetonede
  • Ikke er lejlighedsvise
  • Omfatter følsomme oplysninger, straffeattester eller lovovertrædelser

Undtagelsen er derfor begrænset, og kan ikke anvendes hvis bare én af ovenstående behandlingsaktiviteter finder anvendelse. Derfor er det afgørende, at mindre virksomheder også undersøger, hvornår og hvilke af deres behandlingsaktiviteter, der skal føres fortegnelser over.

Medfører vores behandlingsaktiviteter en risiko?

Virksomheder skal først og fremmest undersøge, hvornår behandlingsaktiviteter kan medføre en risiko for den registreredes rettigheder. Det kræver eksempelvis en klarlæggelse af, om der anvendes ny teknologi eller om behandlingsaktiviteter medfører sociale eller økonomiske konsekvenser, omfatter følsomme oplysninger eller omfatter et stort antal registrerede.

Modsat forordningens krav om konsekvensanalyser, der skal udarbejdes når behandlingsaktiviteter udgør en høj risiko, skal virksomheder her være opmærksomme på, at fortegnelseskravet allerede udløses, når behandlingen kan medføre en risiko.

Er vores behandlingsaktiviteter lejlighedsvise?

Uanset om behandlingsaktiviteterne ikke er risikobetonede, skal virksomheder undersøge, hvilke behandlinger, der ikke kun er lejlighedsvise. Virksomheden kan blandt andet vurdere, om behandlingen foretages med planlagte eller jævnlige tidsintervaller og/eller er en del af virksomhedens normale forretningsgang.

De fleste små og mellemstore virksomheder behandler jævnligt deres medarbejderes persondata i forbindelse med ansættelse eller anden HR-administration. Det betyder, at fordi sådanne behandlinger ikke kan betegnes som lejlighedsvise, omfattes de af fortegnelseskravet.

Behandler vi følsomme personoplysninger?

Selvom behandlingsaktiviteter hverken medfører en risiko og kun sker lejlighedsvist, skal virksomheder under alle omstændigheder føre fortegnelser over aktiviteter, der omfatter følsomme oplysninger eller oplysninger om lovovertrædelser.

Det betyder, at virksomheder, der eksempelvis i forbindelse med rekruttering af nye medarbejdere. modtager oplysninger om ansøgerens politiske eller religiøse overbevisning, helbredsoplysninger eller fagforeningsmæssige tilhørsforhold eller indhenter straffeattester skal føre fortegnelser herover – også selvom behandlingsaktiviteterne kun sker sjældent.

IUNO mener 

Forordningens snævre undtagelse til fortegnelseskravet betyder, at en lang række små og mellemstore virksomheder også skal føre fortegnelser over sine behandlingsaktiviteter. Virksomheder bør derfor være opmærksomme på disse undtagelser og få foretaget en konkret vurdering af, hvilke aktiviteter virksomheden skal føre fortegnelse over.

IUNO anbefaler, at virksomheder under alle omstændigheder får foretaget en vurdering af fordelene ved at udarbejde tilpassede fortegnelser over de forskellige behandlingsaktiviteter, fordi fortegnelser netop kan bidrage med et overblik over virksomhedens datastrømme og sikre overholdelse med forordningens strenge krav.

Modtag vores nyhedsbrev

Anders

Etgen Reitz

Partner

Søren

Hessellund Klausen

Partner

Kathrine

Skøtt Jespersen

Advokat

Pia

Mark

Advokat

Kirsten

Astrup

Advokatfuldmægtig

Lignende nyt

logo
Persondata

13. december 2018

Databeskyttelse og hjemmearbejde

logo
Persondata

10. december 2018

Har du orienteret alle på virksomhedens medieliste?

logo
Persondata

6. december 2018

Ny vejledning om databeskyttelse i ansættelsesforhold

logo
HR-jura

6. december 2018

Lovforslag om ændring af aktieoptionsloven vedtaget

logo
HR-jura

29. november 2018

EU-domstolen: Arbejdsgivere skal aktivt sikre, at medarbejdere afholder ferie

logo
HR-jura

23. november 2018

Julefrokostens udfordringer