← All laws & regulations

GDPR artikel 30 (fortegnelse over behandlingsaktiviteter)

GDPR artikel 30 kræver en skriftlig fortegnelse over jeres behandling af persondata. Se hvem der er omfattet, hvad fortegnelsen skal indeholde, og Datatilsynets praksis.

Who is covered?

Artikel 30 pålægger både dataansvarlige og databehandlere at føre en skriftlig fortegnelse over deres behandlingsaktiviteter.

Der findes en undtagelse for virksomheder med under 250 ansatte — men den er snæver: den gælder ikke, hvis behandlingen sker regelmæssigt (ikke lejlighedsvist), kan indebære en risiko for de registrerede eller omfatter følsomme oplysninger. Da stort set alle virksomheder behandler medarbejderdata løbende (løn, HR, fravær), er det Datatilsynets praksis, at næsten alle virksomheder reelt skal have en fortegnelse.

What do the rules require?

Det skal fortegnelsen indeholde

  • Navn og kontaktoplysninger på den dataansvarlige (og evt. DPO)
  • Formålene med hver behandling — fx lønadministration, rekruttering, kundeadministration, markedsføring
  • Kategorier af registrerede og af personoplysninger (herunder om der behandles følsomme oplysninger)
  • Kategorier af modtagere, som oplysningerne videregives til — fx lønbureau, it-leverandører, myndigheder
  • Eventuelle overførsler til tredjelande og overførselsgrundlaget
  • Forventede slettefrister for de forskellige kategorier af oplysninger
  • En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger
  • Fortegnelsen skal være skriftlig/elektronisk og udleveres til Datatilsynet på anmodning

Deadlines and sanctions

Frister og sanktioner

  • Fortegnelsen skal foreligge løbende og opdateret — Datatilsynet beder rutinemæssigt om den som det første ved tilsyn
  • Manglende eller mangelfuld fortegnelse kan udløse kritik, påbud eller bøde
  • Efter GDPR artikel 83, stk. 4 kan overtrædelse af artikel 30 straffes med bøde på op til 10 mio. euro eller 2 % af den globale årsomsætning
  • En manglende fortegnelse forværrer typisk vurderingen af andre GDPR-brud, fordi den viser manglende overblik

How to comply with Verkta

Verktas GDPR-modul indeholder en færdig artikel 30-fortegnelse bygget til SMV'er: I vælger jeres behandlingsaktiviteter fra skabeloner (løn, HR, kunder, markedsføring m.fl.), og fortegnelsen genereres komplet med formål, kategorier, modtagere og slettefrister. Ændringer versioneres, så I altid kan dokumentere, hvad der gjaldt hvornår. Ved tilsyn eksporterer I fortegnelsen med ét klik — klar til Datatilsynet.

Frequently asked questions

Vi er under 250 ansatte — er vi så fritaget?

Sjældent i praksis. Undtagelsen gælder kun, hvis behandlingen er lejlighedsvis, uden risiko og uden følsomme oplysninger. Behandler I løbende medarbejder- eller kundedata — hvad stort set alle gør — skal I have en fortegnelse.

Er fortegnelsen det samme som en privatlivspolitik?

Nej. Privatlivspolitikken er ekstern information til de registrerede; fortegnelsen er intern dokumentation af alle jeres behandlingsaktiviteter. I skal have begge dele, og fortegnelsen er et godt grundlag for politikken.

Hvor ofte skal fortegnelsen opdateres?

Der er ingen fast frist, men den skal afspejle virkeligheden. Opdater den, når I tager nye systemer i brug, skifter leverandør eller begynder at behandle nye typer oplysninger — og gennemgå den mindst årligt.