Artikel 30 i lovgivningen om General Data Protection Regulation (GDPR) påbyder at alle procedurer der indeholder håndtering af personoplysninger foretaget af en virksomhed skal dokumenteres af virksomheden.

Dokumentationen for processer med behandling af personoplysninger skal være en omfattende liste, der indeholder behandlingsaktiviteterne for alle databehandlere og dataansvarlige som er forbundet til virksomheden med eventuelle yderligere relevant information tilknyttet. 

Nedenstående information er ifølge Artikel 30(1) påkrævet enhver form opgørelse over behandlingsaktiviteter hos en dataansvarlig virksomhed:

  • Navn og kontaktoplysninger på den dataansvarlige virksomhed; 
  • Formålet med behandlingsaktiviteterne;
  • En beskrivelse af kategorierne af registrerede og kategorierne af personoplysninger
  • Information om overførsel af personoplysninger til tredjepartslande eller en international organisation; 
  • Tidsbegræsning på opbevaring af data og sletteprocedure 
  • Tekniske og organisatoriske sikkerhedsforanstaltninger 

Dokumentation for behandlingsaktiviteter kan have to forskellige udformninger: (1) en beskrivelse af hvert system og hvordan det bliver anvendt eller (2) hvilke aktiviteter virksomheden foretager sig og hvilke systemer der anvendes i de processer. 

Nogle eksempler på aktiviteter en virksomhed kan foretage sig er: 

  • Afslutte en kontrakt
  • Rekrutteringsproces 
  • Leasing af biler til medarbejdere 
  • Opgørelse over medarbejdernes arbejdstider (stemplet ind/ud) 
  • Opbevaring af lægeerklæringer på medarbejdere 

Du kan også læse:
Sådan opretter du en behandlingsaktivitet 

Vær opmærksom på: Denne information kan ikke sammenlignes med juridisk rådgivning. Informationen her reflekterer hvad vi opfatter som 'best practice.'

Did this answer your question?