Protokoll over behandlingsaktiviteter

Les vår generelle veiledning om plikten til å føre protokoll over behandlingsaktiviteter

Kommunene må føre protokoll

Kun i svært få tilfeller vil man kunne få unntak fra denne plikten, og unntaket vil ikke gjelde kommuner som tar i bruk GSFE. Følgende informasjon skal fremgå av protokollen:

1. navnet på og kontaktopplysningene til den behandlingsansvarlige og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet,
2. formålene med behandlingen,
3. en beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger,
4. kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner,
5. dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier,
6. dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger,
7. dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Noe av hensikten med å føre protokollen er at de behandlingsansvarlige får oversikt over behandlingsaktiviteter som utføres under deres ansvar. Dette vil gjøre de behandlingsansvarlige bedre egnet til å etterleve kravene i forordningen, for eksempel i forbindelse med gjennomføring av risikovurderinger og personvernkonsekvenser. Bestemmelsen er i stor grad selvforklarende, men vi går igjennom to av punktene her.

Formålene med behandlingen

Formålene med behandlingen av personopplysninger skal være spesifikke og uttrykkelig angitte. Dette følger av artikkel 5 nr. 1 bokstav b, og er noe vi også nevnte i kapittel 3. Spesifisering av formål er en forutsetning for å kunne etterleve flere av prinsippene for behandling av personopplysninger.

Formålsdefinisjonene skal for eksempel gi rammer for hvilke personopplysninger som er nødvendig å behandle («dataminimering»), hvor oppdaterte opplysningene må være («riktighet») og hvor lenge opplysningene kan lagres («lagringsbegrensning»). Det bør for eksempel være mulig å resonnere seg frem til at det er nødvendig å behandle opplysning X og Y for å oppnå formål Z. Motsatt bør det være mulig å resonnere seg frem til at det ikke er anledning til å behandle opplysning A og B. Det skal ikke være slik at tilnærmet alle kategorier av personopplysninger kan anses nødvendige å behandle for å oppnå de angitte formålene.

Prinsippet om formålsbegrensning innebærer også at personopplysninger ikke skal viderebehandles på en måte som er uforenlig med de opprinnelige formålene. Prinsippet må forstås slik at de behandlingsansvarlige må være så spesifikke når de definerer formålene at de registrerte i praksis kan beskyttes mot formålsutglidning. Det kan ikke forstås slik at den behandlingsansvarlige kan definere så vide formål at beskyttelsen utvannes.

Når kommunene spesifiserer formålene med behandling av elevenes personopplysninger gjennom Chromebook og GSFE må kommunene altså formulere disse slik at ikke enhver ny behandlingsaktivitet kan være forenlig med de opprinnelige formålene.

Kategorier av registrerte og av personopplysninger

En oversikt over hvilke kategorier av registrerte, og hvilke kategorier av personopplysninger som behandles, er nødvendig for å kunne gjennomføre realistiske vurderinger av risikoer og personvernkonsekvenser. Det er opp til virksomheten å beslutte hvordan man definerer kategoriene, men det er avgjørende at oversikten gir et godt bilde av hvilke opplysninger som behandles. En mulig måte å kategorisere opplysninger på kan være å skille mellom

• identifiserende opplysninger (navn, fødselsnummer, e-postadresse, brukernavn, telefonnummer, adresse osv.),
• demografiske opplysninger (kjønn, alder, familiesituasjon, skole, klasse osv.),
• kommunikasjonsopplysninger (MAC-adresse, IP-adresse, cookies, kontaktlister, sosialt nettverk, sosiale medier, SMA, MMS, fotografier, videoer osv.),
• aktiviteter (adferdsmønster, tider innlogget/utlogget, tidspunkt for levering, tidspunkt for arbeid med dokumenter, tidspunkt for chat med venner, interesser, hobbyer, fritidsaktiviteter, lokasjon, historikk i nettleser, likes på sosiale medier osv.),
• særlige kategorier av personopplysninger (helse, seksuell orientering, religion, politisk overbevisning osv.),
• opplysninger av særskilt privat karakter (lokasjon, kommunikasjon, bilder), profilering (analysere eller prediksjon av arbeidsprestasjoner, personlige preferanser, interesser, adferd, lokasjon, bevegelser osv.).