En fortegnelse over behandlingsaktiviteter er den skriftlige oversigt over alle de behandlinger af personoplysninger, som din organisation foretager. Den er lovpligtig efter artikel 30 i databeskyttelsesforordningen (GDPR), og den er som regel det første dokument, Datatilsynet beder om at se ved en tilsynssag. En dataansvarlig skal for hver behandling notere formål, kategorier af registrerede og oplysninger, modtagere, overførsler til tredjelande, slettefrister og de tekniske og organisatoriske sikkerhedsforanstaltninger. Fortegnelsen er ikke en formalitet: den er selve grundlaget for at kunne dokumentere ansvarlighed (accountability) efter artikel 5, stk. 2, og for at kunne besvare en indsigtsanmodning eller anmelde et brud korrekt.
Denne guide gennemgår, hvem der har pligten, hvad fortegnelsen skal indeholde felt for felt, og hvordan du holder den ajour. Vil du direkte have et udfyldt udgangspunkt, så se vores skabelon til fortegnelse over behandlingsaktiviteter.
Hvem skal føre en fortegnelse?
Artikel 30 pålægger både den dataansvarlige (art. 30, stk. 1) og databehandleren (art. 30, stk. 2) at føre en fortegnelse. De to fortegnelser har forskelligt indhold: den dataansvarliges beskriver formålene med behandlingen, mens databehandlerens beskriver de kategorier af behandlinger, der udføres på vegne af hver kunde.
Artikel 30, stk. 5, indeholder en tilsyneladende undtagelse for virksomheder med under 250 ansatte. Undtagelsen er i praksis næsten uden betydning, fordi den bortfalder, så snart behandlingen:
- ikke er lejlighedsvis (fx løbende behandling af kunde- eller medarbejderoplysninger),
- kan medføre en risiko for de registreredes rettigheder, eller
- omfatter følsomme oplysninger (særlige kategorier, art. 9) eller oplysninger om strafbare forhold (art. 10).
Enhver almindelig virksomhed med ansatte og kunder behandler personoplysninger løbende og er dermed omfattet af pligten. Datatilsynet har i sin vejledningspraksis gjort det klart, at undtagelsen sjældent kan påberåbes. Regn i praksis med, at fortegnelsen er obligatorisk.
Hvad skal fortegnelsen indeholde?
For den dataansvarlige kræver artikel 30, stk. 1, følgende oplysninger for hver behandlingsaktivitet:
- Navn og kontaktoplysninger på den dataansvarlige, eventuelle fælles dataansvarlige og databeskyttelsesrådgiveren (DPO).
- Formålene med behandlingen — fx lønadministration, rekruttering, kundehåndtering, markedsføring.
- Kategorier af registrerede (medarbejdere, kunder, leverandører, ansøgere) og kategorier af personoplysninger (identitet, kontaktoplysninger, økonomiske oplysninger, helbredsoplysninger).
- Kategorier af modtagere, herunder databehandlere og modtagere i tredjelande.
- Overførsler til tredjelande eller internationale organisationer, med angivelse af overførselsgrundlaget (fx adækvansafgørelse eller EU-Kommissionens standardkontraktbestemmelser).
- De forventede slettefrister for hver kategori af oplysninger, jf. princippet om opbevaringsbegrænsning.
- En generel beskrivelse af de tekniske og organisatoriske sikkerhedsforanstaltninger (art. 32).
Et centralt, men ofte overset punkt er, at fortegnelsen bør angive behandlingsgrundlaget efter artikel 6 for hvert formål — samtykke, kontrakt, retlig forpligtelse, legitim interesse mv. Det er ikke udtrykkeligt oplistet i artikel 30, men uden det kan du ikke dokumentere lovligheden, og Datatilsynet forventer det i praksis. Bygger du en behandling på samtykke, skal du kunne pege på, hvor samtykket er indhentet og dokumenteret.
Eksempel på en enkelt post i fortegnelsen
Behandling: Lønadministration Formål: Beregning og udbetaling af løn, indberetning til SKAT Behandlingsgrundlag: Retlig forpligtelse (art. 6, stk. 1, litra c) og kontrakt (litra b) Registrerede: Nuværende og tidligere medarbejdere Oplysninger: Navn, CPR-nummer, kontonummer, løn, fravær Modtagere: Lønbureau (databehandler), SKAT, pensionsselskab Tredjelandsoverførsel: Nej Sletning: 5 år efter ansættelsens ophør (bogføringsloven) Sikkerhed: Adgangsstyring, kryptering, logning
Hvordan holder du fortegnelsen ajour?
Fortegnelsen er ikke et engangsdokument. Artikel 30 kræver, at den er skriftlig (elektronisk form accepteres) og stilles til rådighed for Datatilsynet på anmodning. I praksis betyder ansvarlighedsprincippet, at fortegnelsen skal afspejle virkeligheden løbende. En fortegnelse, der er to år gammel, er ofte værre end ingen fortegnelse, fordi den dokumenterer manglende styring.
Knyt fortegnelsen til dine øvrige compliance-dokumenter: hver behandling med ekstern leverandør bør have en tilhørende databehandleraftale, hver højrisikobehandling bør udløse en konsekvensanalyse, og slettefristerne bør stemme overens med din reelle praksis. Netop uoverensstemmelse mellem den angivne slettefrist og den faktiske opbevaring var kernen i sagerne mod Taxa 4x35 og IDdesign — se afsnittet om opbevaringsbegrænsning nedenfor.
En platform som Legiscope kan automatisere vedligeholdelsen ved at koble fortegnelsen sammen med databehandleraftaler, konsekvensanalyser og brudlog, så en ændring ét sted opdateres alle relevante steder.
Sådan kommer du i gang: en praktisk fremgangsmåde
Mange organisationer går i stå, fordi opgaven virker uoverskuelig. Den bliver håndterbar med en enkel fremgangsmåde:
- Kortlæg afdeling for afdeling. Tal med HR, økonomi, salg, marketing og IT om, hvilke oplysninger de behandler, og hvorfor. De fleste behandlinger dukker op af sig selv, når man spørger konkret: “Hvem har vi oplysninger om, og hvad bruger vi dem til?”
- Start med de behandlinger, alle har. Løn, HR og rekruttering (medarbejdere), kunde- og ordrehåndtering (kunder), markedsføring og nyhedsbreve, leverandørstyring, samt IT-drift og logning. Har I fysiske lokaler, ofte også videoovervågning.
- Udfyld ét felt ad gangen. For hver behandling: formål, behandlingsgrundlag, kategorier, modtagere, slettefrist og sikkerhed.
- Identificér hullerne. Hver ekstern leverandør uden databehandleraftale og hver behandling uden fastsat slettefrist er en opgave, fortegnelsen afdækker.
- Sæt en fast opdateringsrytme. Gennemgå fortegnelsen mindst halvårligt og ved hver ny behandling.
Fortegnelsen er sjældent perfekt fra dag ét — det vigtige er at komme i gang og gøre den til et levende arbejdsredskab. Vil du have et struktureret udgangspunkt med alle felterne, så brug vores skabelon til fortegnelsen.
Hvad koster det at mangle en fortegnelse?
I Danmark kan Datatilsynet ikke selv udstede administrative bøder. Tilsynet undersøger sagen, udtaler kritik eller alvorlig kritik, giver påbud eller indstiller — via en politianmeldelse — den dataansvarlige til en bøde, som domstolene derefter fastsætter. Manglende eller mangelfuld dokumentation er gennemgående et skærpende element i Datatilsynets vurdering.
Det tydeligste eksempel er sagen om Danske Bank, hvor Datatilsynet i 2022 indstillede banken til en bøde på 10 mio. kr. — den største bøde, tilsynet indtil da havde indstillet til. Kernen var, at banken i mere end 400 systemer ikke kunne dokumentere, at der var fastsat regler for sletning og opbevaring af personoplysninger. Det er præcis den type dokumentation, en fortegnelse og de tilhørende slettefrister skal levere. Sagen viser, at manglende overblik over egne behandlinger i sig selv er et alvorligt brud, uafhængigt af om oplysningerne faktisk er kommet på afveje.
Ofte stillede spørgsmål
Skal en lille virksomhed føre en fortegnelse over behandlingsaktiviteter?
Ja, i praksis næsten altid. Undtagelsen i artikel 30, stk. 5, for virksomheder under 250 ansatte gælder kun, hvis behandlingen er lejlighedsvis, ikke indebærer risiko og ikke omfatter følsomme oplysninger. Enhver virksomhed med ansatte og kunder behandler oplysninger løbende og opfylder derfor ikke betingelserne. Regn med, at fortegnelsen er obligatorisk.
Hvad er forskellen på den dataansvarliges og databehandlerens fortegnelse?
Den dataansvarliges fortegnelse (art. 30, stk. 1) beskriver formålene med behandlingen. Databehandlerens fortegnelse (art. 30, stk. 2) beskriver de kategorier af behandlinger, som databehandleren udfører på vegne af hver dataansvarlig, samt oplysninger om underdatabehandlere og tredjelandsoverførsler. Er du både dataansvarlig for egne medarbejdere og databehandler for kunder, skal du føre begge dele.
Skal fortegnelsen indsendes til Datatilsynet?
Nej. Fortegnelsen skal ikke indsendes eller registreres på forhånd, men den skal på anmodning stilles til rådighed for Datatilsynet. I praksis er den ofte det første dokument, tilsynet efterspørger, når en sag indledes, så den skal være opdateret og klar.
Konklusion
Fortegnelsen over behandlingsaktiviteter er rygraden i din GDPR-dokumentation. Den er lovpligtig efter artikel 30 for stort set alle organisationer, den skal indeholde formål, kategorier, modtagere, slettefrister og sikkerhedsforanstaltninger, og den skal holdes løbende ajour. Brug den som omdrejningspunkt: knyt databehandleraftaler, konsekvensanalyser og slettefrister til hver enkelt behandling. Start med en færdig skabelon, og udbyg den til din egen virksomhed. Sagen mod Danske Bank viser, at det ikke er nok at ville overholde reglerne — du skal kunne dokumentere det.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial