Det er et krav efter persondataforordningens artikel 30, at alle dataansvarlige og databehandlere skal føre fortegnelser over deres behandlingsaktiviteter, henholdsvis kategorier af behandlingsaktiviteter. 

Kravet gælder dog ikke, hvis den dataansvarlige har under 250 ansatte, medmindre:

  1. behandlingen sandsynligvis vil medføre en risiko for registreredes rettigheder og frihedsrettigheder
  2. behandlingen ikke er lejlighedsvis eller
  3. behandlingen omfatter følsomme oplysninger og/eller straffedomme eller lovovertrædelser.

I praksis bør stort set alle dataansvarlige og databehandlere dog udarbejde fortegnelser, jf. Datatilsynets og Justitsministeriets vejledning om fortegnelser, afsnit 2.3.

Datatilsynet vil kunne bede om at se fortegnelserne.

DANVA har udarbejdet skabeloner for fortegnelse om behandling af personoplysninger om kunder og fortegnelse for HR-data, som findes her. Tilgangen til fortegnelserne forudsætter password, som DANVAs medlemmer kan få udleveret via henvendelse til hb@danva.dk

DANVA har indsat forslag til udfyldelse af fortegnelserne, men fortegnelserne skal naturligvis udfyldes konkret for hvert selskab, så de afspejler de konkrete behandlinger, som selskabet foretager. Herudover bør selskabet overveje, om den behandler personoplysninger om andre end kunder og medarbejdere, der også bør laves en eller flere fortegnelse over, f.eks. leverandører/samarbejdspartnere og bestyrelsesmedlemmer.

Fortegnelserne skal foreligge skriftligt og elektronisk.

Der kan i øvrigt henvises til Datatilsynets og Justitsministeriets vejledning om fortegnelse fra januar 2018, den kan downloades her