Behandlingsprotokoll

Alle virksomheter som behandler personopplysninger er pliktig til å føre protokoll over alle behandlingene. Dette er beskrevet i artikkel 30 i personvernforordningen (GDPR).

Hva er en behandling?

All lagring og bruk av personopplysninger er en behandling. Og dersom du bruker en personopplysning til ulike formål er det igjen ulike behandlinger. Formål og dets behandlingsgrunnlag er veldig sentralt i GDPR. Her er et lite eksempel med ulike behandlinger på de samme dataene:

• Virksomheten tar imot og lagrer data om kunden ved et kjøp. Et kjøp er en avtaleinngåelse mellom virksomheten og kunden, så behandlingsgrunnlaget med å lagre disse dataene er at det er “nødvendig for å oppfylle en avtale som den registrerte er part i”.
• Virksomheten ønsker også å bruke informasjon om hvor kunden bor til å markedsføre ulike produkter som kun er tilgjengelig for kunder i en viss del av landet. Behandlingsgrunnlaget her kan være samtykke eller virksomhetens berettigede interesse.
• Virksomheten ønsker å lage analyser over salget sitt, og bruker bla. kundenes adresse for å se hvor mye de selger ulike steder i landet. Behandlingsgrunnlaget for dette er virksomhetens berettigede interesse.
• Virksomheten ønsker å lage en nettside som tilpasser seg kunden, og bruker blant annet kundens adresse å tilpasse innholdet på nettsiden. Behandlingsgrunnlaget for dette er virksomhetens berettigede interesse.

I eksempelet over gjør virksomheten ulike behandlinger for ulike formål. Hvert formål er en egen behandling, og dette må derfor dokumenteres i behandlingsprotokollen. I dette tilfellet innvolverer alle behandlingene kundens adresse. Det er altså ikke nok å bare dokumentere den behandlingen som lagrer dataene, men alle behandlinger som bruker dataene må også dokumenteres.

Hvordan gjøres dette i praksis?

Det aller enkleste, hvis du ikke har veldig mange behandlinger, er å bruke Datatilsynets mal for behandlingsoversikt. Den finner du her. Et tips er å legge behandlingsoversikten online, i Office 365, Google docs eller liknende, og la alle ansatte ha lesetilgang. Kun ansatte som skal endre behandlingsoversikten bør ha skrivetilgang. Å gi alle ansatte lesetilgang er bra for bevisstgjøring og opplæring i personvernarbeidet, og det vil ofte også føre til at ansatte oppdager og rapporterer feil og mangler. Husk også å sette opp jevnlige møter hvor man kontrollerer at behandlingsoversikten er à jour.