I lige dele iver efter at gøre det rigtigt og angst for at gøre noget forkert udarbejder mange virksomheder langt flere fortegnelser over deres behandlingsaktiviteter, end de behøver. Her beskriver vi, hvordan man grupperer sine behandlingsaktiviteter og sparer sig selv for mange timers (spildt) arbejde.
Som bekendt stiller databeskyttelsesforordningen krav om, at virksomheder skal føre fortegnelser over deres behandlingsaktiviteter. En fortegnelse over en behandlingsaktivitet kan beskrives som en fortegnelse over virksomhedens logisk sammenhængende processer. Og hvad er så det?
Lad os tage et par eksempler.
Persondata, der indgår i ansættelseskontrakter, lønudbetalinger, sygdomsregistreringer, pensionsordninger, MUS-samtaler og lignende er alle persondata, der indgår i én logisk sammenhængende proces, der kan betegnes som ‘Personaleadministration’. GDPR stiller ikke krav om, at man skal føre fortegnelse over alle subprocesserne i sin personaleadministration. Altså en kortlægning af, hvilke systemer og platforme der anvendes til håndtering af de personaleadministrative data. Forordningen vil – i denne sammenhæng – kun have virksomheder til at beskrive det overordnede formål med, at de håndterer persondata i personaleadministrationen.
Efter samme logik er kundekontakt på et website, kundekontakt over telefonen og kundekontakt ved personlige møder ikke væsensforskellige processer, der kræver udarbejdelse af særskilte fortegnelser. Al kundekontakt, hvori der indgår persondata, er én logisk sammenhængende proces, der kan betegnes som ‘Kundekontakt’. Sådan kan man fortsætte med at gruppere behandlingsaktiviteter for eksempelvis ‘Formidling af lån’ og ‘Marketingaktiviteter‘’.
Hvad laver I?
Vi medgiver, at det kan være svært at foretage grupperingen af logisk sammenhængende processer. Men vi opfordrer alligevel til, at man tager hul på opgaven.
“Prøv at slå jeres egen virksomhed op i CVR-registreret. Hvad står der, at I laver? Driver I dagligvarehandel, sælger I gummisko, eller hvad er jeres kerneaktivitet? Jeres formål med at drive forretning skal sammenholdes med jeres behov for at behandle data om den registrerede. Altså, giver det mening, at I som virksomhed håndterer netop disse personoplysninger om disse mennesker i disse processer? Det er hele den tankerække, der skal med i fortegnelsen over en behandlingsaktivitet,” siger Jakob Joensen. “Og husk, at fortegnelsen skal give mening for den registrerede, ikke kun for jer som virksomhed. Det er det, der er hele baggrunden for GDPR.”
“Og husk, at fortegnelsen skal give mening for den registrerede,
ikke kun for jer som virksomhed. Det er det,
der er hele baggrunden for GDPR.”
Behandlingsaktiviteter er ikke dataflowanalyser
Noget af forvirringen stammer fra en sammenblanding af begreberne ‘fortegnelse over behandlingsaktiviteter’ og ‘dataflowanalyser’.
Hvor en dataflowanalyse er et totalbillede af hele it-landskabet – eksempelvis netværk, infrastruktur, storage, databaser osv. – og hvordan data flyder mellem alle applikationer, er behandlingsaktiviteter kun en fortegnelse, der skal give overblik over, hvordan man behandler sine persondata og i hvilke overordnede processer.ne
“Nogle virksomheder forveksler de to ting og går i gang med at lave fortegnelser over deres dataflows. For det første er det ikke det, GDPR stiller krav om. For det andet er det en meget omfattende opgave at udarbejde et totalbillede af hele it-landskabet, fordi det hele tiden forandrer sig.”
Lovhjemmel er et godt pejlemærke
Det kan være et definitionsspørgsmål at afgøre, om nogle processer hænger mere naturligt sammen end andre. For hvad nu, hvis man som en virksomhed, der lever af at sælge elektronik, har kundekontakt med både privatpersoner og offentlige virksomheder. Er den samlede kundekontakt så én eller to logisk sammenhængende processer?
Salg til private og salg til virksomheder er underlagt forskellige lovgivninger. Derfor er håndteringen af persondata til det ene og det andet segment også to forskellige processer, og man skal udarbejde to forskellige fortegnelser over behandlingsaktiviteter. Det samme ville være tilfældet, hvis man som virksomhed både behandlede kundedata til analyseformål og kundedata til salgsformål. Det er to processer med to væsensforskellige formål. Det ene har et forskningsmæssigt præg. Det andet handler udelukkende om salg.
Vi ved godt, at det kan være svært at skelne, men prøv at se på den lovhjemmel, der regulerer det område, persondatabehandlingen foregår under. Hvis databehandlingen af persondata i eksempelvis al virksomhedens kundekontakt er underlagt samme lovgivning, skal der sandsynligvis kun føres én fortegnelse. Men hvis de processer, databehandlingen indgår i, er underlagt forskellige lovgivninger, skal der som udgangspunkt føres fortegnelser over hver af de behandlingsaktiviteter, der er logisk sammenhængende.”
Databeskyttelse er en klassisk it-disciplin
Når man har kortlagt formålet og lavet fortegnelser over sine behandlingsaktiviteter, stiller GDPR også krav om, at man fortæller, hvordan man beskytter den registreredes data under hver behandlingsaktivitet.
Det er en klassisk it-disciplin. Det handler om at beskrive, hvordan man eksempelvis foretager adgangskontrol, krypterer data, logger filer osv. Det er der mange it-afdelinger, der har godt styr på i forvejen. Det skal måske dokumenteres på en anden måde, end de er vant til, men kerneopgaven kender de.
