Tilsyn med kommuner fører til ændringer i vejledningen om fortegnelse

Gennemførte tilsyn med fortegnelser

Datatilsynet har gennemført tilsyn med tre kommuner, som fokuserede på kommunernes efterlevelse af kravet om at føre fortegnelse over behandlingsaktiviteter. Der var fokus på, hvorvidt kommunernes fortegnelser kunne anvendes til kravets bagvedliggende formål.

Ved tilsynet af kommunerne konkluderede Datatilsynet, at en fortegnelse over behandlingsaktiviteter skal indeholde en tydelig kobling mellem, hvilke kategorier af personoplysninger, der behandles om de enkelte kategorier af registrerede. Datatilsynet fandt endvidere, at hvis der bliver eller vil blive videregivet personoplysninger i forbindelse med en behandlingsaktivitet, skal fortegnelsen også indeholde information om, hvilke kategorier af personoplysninger, der bliver eller vil blive videregivet til modtageren. Det skal også fremgå, hvilke kategorier af registrerede, de pågældende oplysninger vedrører.

Kategorier af personoplysninger er eksempelvis oplysninger fra folkeregistret, om kontonummer, om pensionsforhold og om sociale problemer, mens kategorier af registrerede kan være patienter, pårørende, ansøgere, kunder, børn, mv.

Tilsynet mener, at denne type oplysninger er oplysninger, som den dataansvarlige eller databehandleren bør have og bør kunne dokumentere, bl.a. til brug for udarbejdelse af risikovurderinger og implementering af passende tekniske og organisatoriske sikkerhedsforanstaltninger.

Opdatering af vejledning

Datatilsynet har på baggrund af de gennemførte tilsyn opdateret deres vejledning om fortegnelser. Vejledningen indeholder nu et krav om en tydelig kobling, der også indeholder et eksempel på hvordan denne kobling kan se ud.

Datatilsynets opdatering af vejledningen om fortegnelse over databehandlinger er således en skærpelse, som understøtter dataansvarlige og -behandleres efterlevelse af ansvarlighedskravet.

Den opdaterede vejledning betyder, at man som dataansvarlig eller -behandler skal være ekstra opmærksom på, at fortegnelse over databehandlingsaktiviteter indeholder en tydelig kobling mellem kategorier af personoplysninger og kategorier af registrerede.

Har du eksempelvis anført, at der behandles ”oplysninger” om ”børn og unge under 18 år”, eller at der behandles ”oplysninger om sociale problemer” om ”registrerede”, bør du overveje om det i stedet bør fremgå, at der behandles ”oplysninger om sociale problemer” om ”børn og unge under 18 år”, således at koblingen er tydelig.

Det er vores vurdering, at den nye vejledning fra Datatilsynet er i overensstemmelse med beskyttelsesforordningens bagvedliggende formål og hensyn. Idet, at der allerede i forbindelse med anmeldelse af behandlingsaktiviteter ifølge persondatalovens regler var stillet krav til detaljeret opgørelser, har vores rådgivet i overensstemmelse hermed siden forordningen trådte i kraft.

Datatilsynets gamle vejledning og Justitsministeriets betænkning har dog medført berettigede tvivl hos mange dataansvarlige og databehandlere om kravene til kobling mellem kategorier af personoplysninger og kategorier af registrerede m.v. Datatilsynets nylige præcisering er derfor meget velkommen og bekræfter retstilstanden.