Protokoll over behandlingsaktiviteter

Protokoll over behandlingsaktiviteter

Alle virksomheter som som behandler personopplysninger, skal føre en protokoll over behandlingsaktiviteter som utføres under deres ansvar.

Tilsvarende skal også databehandlere føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av en behandlingsansvarlig (jf. artikkel 30 i personvernforordningen).

Den behandlingsansvarliges protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet.
  2. Formålene med behandlingen.
  3. En beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
  4. Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner.
  5. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  6. Dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
  7. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Databehandlerens protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant og personvernombudet.
  2. Kategoriene av behandling utført på vegne av hver behandlingsansvarlig.
  3. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  4. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Husk at behandlingsansvarlige må inngå databehandleravtale med hver databehandler. Krav til innhold i en slik avtale er beskrevet i artikkel 28.

Unntak fra plikten til å føre protokoll?

Foretak og organisasjoner med færre enn 250 ansatte har unntak fra kravet om å føre protokoll for visse behandlingsaktiviteter. Unntaket er imidlertid snevert og det vil derfor svært sjeldent gjelde som et absolutt unntak fra hele bestemmelsen. Det vil i større grad fungere som et unntak fra en del av artikkel 30, for å lette protokollføringsbyrden til virksomheter med færre enn 250 ansatte. Mer om dette kan du finne i Artikkel 29-gruppen (EU-kommisjonens rådgivende organ i personvernspørsmål) sin tolkning av unntaket.

I praksis og nesten uten unntak, skal derfor alle virksomheter føre protokoller over sine behandlingsaktiviteter. Dessuten vil alle virksomheter i alle tilfeller ha nytte av å kartlegge sine behandlinger av personopplysninger, som del av sin internkontrollplikt og dokumentasjon av denne.

Hvordan utarbeide protokollen?

Det er ikke er noen formkrav til hvordan protokollen skal føres, eller hva slags verktøy som skal benyttes. Dere bestemmer med andre ord selv hvorvidt dere fører oversikten som et tekstbehandlingsdokument, på regneark, eller via andre verktøy. Pass imidlertid på at de kravene til innhold som er obligatoriske blir med i en samlet skriftlig og elektronisk tilgjengelig oversikt.

Datatilsynet har utarbeidet to enkle maler i excel, for henholdsvis behandlingsansvarlig og databehandler. Benytt gjerne disse til å skape den nødvendige oversikten.

I malen for behandlingsansvarlig har vi tatt med flere kolonner enn det som er obligatorisk. Dette har vi gjort fordi en mer utfyllende oversikt vil være et godt hjelpemiddel i arbeidet med å sikre etterlevelse av virksomhetens plikter og de registrertes rettigheter. Dere vil da lettere kunne besvare forespørsler fra enkeltpersoner som vil vite hva dere har registrert om dem, hvor dere har fått opplysningene fra, og med hvilket rettslig grunnlag dere behandler opplysningene. Oversikten er også nyttig når dere skal oppfylle den aktive informasjonsplikten, for eksempel ved utarbeidelse av en personvernerklæring.

Last ned

Se også veiledning og eksempler fra det danske datatilsynet og fra vår britiske søsterorganisasjon ICO om dokumentasjonsplikten og protokollen etter artikkel 30.

22