Har du brug for en skabelon til en fortegnelse over behandlingsaktiviteter efter artikel 30 i GDPR? Her er den — med alle de påkrævede felter og klar til at udfylde. Fortegnelsen er lovpligtig for stort set alle organisationer, og den er som regel det første dokument, Datatilsynet beder om at se ved en tilsynssag. Skabelonen nedenfor kan bruges direkte i et regneark: hver behandling får sin egen række, og kolonnerne svarer til kravene i artikel 30, stk. 1.
For det juridiske grundlag — hvem der har pligten, og hvad hvert felt betyder — se vores guide til fortegnelsen (art. 30).
Skabelon til fortegnelse over behandlingsaktiviteter
Opret et regneark med én række pr. behandling og følgende kolonner:
Kolonne Indhold Behandlingens navn Kort betegnelse (fx “Lønadministration”) Formål Hvorfor oplysningerne behandles Behandlingsgrundlag Art. 6-grundlag (samtykke, kontrakt, retlig forpligtelse, legitim interesse …) + art. 9-grundlag ved følsomme oplysninger Kategorier af registrerede Medarbejdere, kunder, ansøgere, leverandører … Kategorier af oplysninger Identitet, kontakt, økonomi, helbred … (markér følsomme) Modtagere Interne afdelinger, databehandlere, myndigheder Databehandlere Navn + reference til databehandleraftale Tredjelandsoverførsel Ja/nej + land + overførselsgrundlag (art. 46) Slettefrist Konkret frist + kilde (lov eller intern begrundelse) Sikkerhedsforanstaltninger Kort beskrivelse (kryptering, adgangsstyring, logning …) Konsekvensanalyse Krævet? Ja/nej + reference Ansvarlig Afdeling/rolle
Eksempel på tre udfyldte rækker
1. Lønadministration — Formål: løn og indberetning · Grundlag: retlig forpligtelse (art. 6.1.c) + kontrakt (b) · Registrerede: medarbejdere · Oplysninger: navn, CPR, konto, løn · Modtagere: lønbureau, SKAT, pension · Databehandler: [Lønbureau], jf. DPA · Tredjeland: nej · Slettefrist: 5 år efter fratrædelse (bogføringsloven) · Sikkerhed: adgangsstyring, kryptering · DPIA: nej.
2. Rekruttering — Formål: udvælgelse af kandidater · Grundlag: legitim interesse (art. 6.1.f) / samtykke ved fortsat opbevaring · Registrerede: ansøgere · Oplysninger: CV, ansøgning, referencer · Modtagere: HR, ansættende leder · Databehandler: [rekrutteringssystem], jf. DPA · Tredjeland: nej · Slettefrist: 6 måneder efter afslag · Sikkerhed: adgangsstyring · DPIA: nej.
3. Videoovervågning — Formål: sikkerhed og tyverisikring · Grundlag: legitim interesse (art. 6.1.f) · Registrerede: besøgende, medarbejdere · Oplysninger: billeder · Modtagere: sikkerhedsansvarlig, evt. politi · Databehandler: [leverandør], jf. DPA · Tredjeland: nej · Slettefrist: 30 dage · Sikkerhed: adgangsstyring, logning · DPIA: ja (systematisk overvågning).
Behandlinger, næsten alle organisationer har
En af de største forhindringer er at få øje på de behandlinger, man i forvejen foretager. Brug denne liste som udgangspunkt — de fleste organisationer har langt de fleste af dem:
- Lønadministration — medarbejdere, retlig forpligtelse/kontrakt, 5 års opbevaring (bogføring).
- Personaleadministration/HR — medarbejdere, kontrakt, sletning ved fratrædelse + evt. lovbestemte frister.
- Rekruttering — ansøgere, legitim interesse/samtykke, typisk 6 måneder efter afslag.
- Kunde- og ordrehåndtering — kunder, kontrakt, opbevaring efter behov + bogføringslovens krav.
- Markedsføring og nyhedsbreve — kunder/abonnenter, samtykke, indtil framelding.
- Leverandør- og kontraktstyring — kontaktpersoner hos leverandører, kontrakt/legitim interesse.
- IT-drift, support og logning — brugere, legitim interesse/retlig forpligtelse, korte logfrister.
- Videoovervågning — besøgende/medarbejdere, legitim interesse, typisk 30 dage, ofte konsekvensanalyse.
Har din organisation en hjemmeside med formularer eller webshop, kommer der yderligere behandlinger til (kontaktformularer, brugerkonti, cookies). Hver af dem skal have sin egen række i fortegnelsen og genfindes i din privatlivspolitik.
Sådan tilpasser du skabelonen
Start med de behandlinger, du helt sikkert har. Alle organisationer med ansatte behandler medarbejderoplysninger (løn, HR, rekruttering); har du kunder, har du kunde- og markedsføringsbehandlinger. Kortlæg derefter afdeling for afdeling, hvilke oplysninger der behandles hvor.
Notér altid behandlingsgrundlaget. Det er ikke udtrykkeligt krævet i artikel 30, men uden det kan du ikke dokumentere lovligheden, og Datatilsynet forventer det. Vælg ét grundlag pr. formål — og husk, at samtykke skal kunne dokumenteres særskilt.
Kobl hver behandling til de relaterede dokumenter. Hver ekstern leverandør skal have en databehandleraftale; hver højrisikobehandling skal have en konsekvensanalyse; hver slettefrist skal stemme med din faktiske praksis, jf. opbevaringsbegrænsning.
Fastsæt realistiske slettefrister. Angiv en konkret frist og kilden — enten en lov (fx bogføringslovens 5 år) eller en intern begrundelse. Undgå tomme eller urealistiske frister, du ikke overholder i praksis.
Typiske fejl
- Fortegnelsen laves én gang og opdateres aldrig. En fortegnelse fra 2023 dokumenterer manglende styring. Fastsæt en fast rytme for opdatering (fx halvårligt) og ved hver ny behandling.
- Slettefrister, der ikke overholdes. Uoverensstemmelse mellem den angivne frist og den faktiske opbevaring var kernen i sagerne mod Taxa 4x35 og IDdesign. En frist, du ikke følger, er værre end ingen frist.
- Manglende overblik over databehandlere. Hver leverandør, der behandler oplysninger, skal fremgå — ellers kan du hverken indgå de rette aftaler eller besvare en indsigtsanmodning korrekt.
- Behandlingsgrundlaget mangler. Uden grundlag kan lovligheden ikke dokumenteres.
En platform som Legiscope kan holde fortegnelsen levende ved at koble hver behandling til databehandleraftaler, konsekvensanalyser og slettefrister — så en ændring ét sted opdateres alle relevante steder.
Regneark eller værktøj?
Skabelonen ovenfor fungerer i et regneark, og for en mindre organisation med få behandlinger er det ofte tilstrækkeligt. Ulempen viser sig, når organisationen vokser: et regneark kobler ikke automatisk behandlingerne til de tilhørende databehandleraftaler, konsekvensanalyser og slettefrister, og det bliver hurtigt uoverskueligt at holde flere versioner ajour på tværs af afdelinger. Ændrer en slettefrist sig, skal du manuelt finde alle de steder, den optræder.
Uanset værktøj er det de samme oplysninger, der skal med — kravene følger af artikel 30 i databeskyttelsesforordningen. Begynd med regnearket, og skift til et dedikeret værktøj, når antallet af behandlinger og leverandører gør vedligeholdelsen tung.
Tjekliste før fortegnelsen er færdig
Gennemgå disse punkter, inden du betragter fortegnelsen som komplet:
- Har hver behandling et formål og et behandlingsgrundlag?
- Er der en konkret slettefrist med kilde (lov eller intern begrundelse) for hver kategori?
- Har hver ekstern leverandør en databehandleraftale, der er refereret i fortegnelsen?
- Er følsomme oplysninger (art. 9) og oplysninger om strafbare forhold (art. 10) markeret?
- Er behandlinger med høj risiko markeret som kandidater til en konsekvensanalyse?
- Er tredjelandsoverførsler angivet med overførselsgrundlag?
- Er der fastsat en opdateringsrytme (fx halvårligt)?
En fortegnelse, der består denne tjekliste, kan både fremlægges ved et tilsyn og bruges som udgangspunkt for at besvare indsigtsanmodninger. For de nærmere krav henvises til Datatilsynets vejledning om fortegnelser.
Ofte stillede spørgsmål
Kan jeg føre fortegnelsen i et regneark?
Ja. Artikel 30 kræver blot, at fortegnelsen er skriftlig, og elektronisk form accepteres. Et regneark fungerer fint for mindre organisationer. Ulempen er, at et regneark ikke automatisk kobler behandlingerne til databehandleraftaler, konsekvensanalyser og slettefrister — det skal du vedligeholde manuelt.
Hvilke felter er obligatoriske i fortegnelsen?
Artikel 30, stk. 1, kræver: kontaktoplysninger, formål, kategorier af registrerede og oplysninger, kategorier af modtagere, tredjelandsoverførsler, forventede slettefrister og en generel beskrivelse af sikkerhedsforanstaltningerne. Behandlingsgrundlaget bør tilføjes, selv om det ikke er udtrykkeligt oplistet.
Skal jeg føre to fortegnelser, hvis jeg både er dataansvarlig og databehandler?
Ja. Er du dataansvarlig for egne medarbejdere og databehandler for kunder, skal du føre både en fortegnelse efter artikel 30, stk. 1 (som dataansvarlig), og en efter stk. 2 (som databehandler), da de to har forskelligt indhold.
Hvor detaljeret skal hver behandling beskrives?
Detaljeringsgraden skal være tilstrækkelig til, at en udenforstående — fx en tilsynsmedarbejder — kan forstå, hvad der behandles, hvorfor og på hvilket grundlag. Undgå både det for brede (“kundedata til drift”) og det unødigt granulære. Angiv konkrete kategorier af oplysninger og registrerede, et præcist formål og en slettefrist med kilde. Er en behandling kompleks eller omfatter følsomme oplysninger, bør beskrivelsen være mere udførlig, og behandlingen bør vurderes for, om den udløser en konsekvensanalyse. Målestokken er, om fortegnelsen kan stå alene som dokumentation ved et tilsyn.
Hvem i organisationen ejer fortegnelsen?
Ansvaret ligger hos den dataansvarlige, men i praksis bør en konkret rolle — ofte databeskyttelsesrådgiveren eller en databeskyttelseskoordinator — have ansvaret for at vedligeholde fortegnelsen og indhente opdateringer fra de enkelte afdelinger. Uden en klart udpeget ejer forældes fortegnelsen hurtigt.
Konklusion
Fortegnelsen er rygraden i din GDPR-dokumentation, og skabelonen ovenfor giver dig alle de påkrævede felter. Udfyld én række pr. behandling, notér altid behandlingsgrundlaget, kobl hver behandling til dens databehandleraftale, konsekvensanalyse og slettefrist — og hold den løbende ajour. Læs det juridiske grundlag i vores guide til fortegnelsen (art. 30).
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial