Systematisk dokumentasjon av behandlingen av personopplysninger er ikke bare praktisk, men for mange organisasjoner også et lovmessig krav. I henhold til artikkel 30 i GDPR skal dette gjøres i form av en protokoll der man dokumenterer alle behandlingsaktiviteter. En slik oversikt kalles ofte bare for behandlingsprotokoll.
Behandlingsprotokollen skal blant annet inneholde alle kategorier av personopplysninger som behandles av organisasjonen, hvem (kategorier av personer, eks. ansatte, innbyggere, kunder) som får sine personopplysninger behandlet, formålet med behandlingen, og hvorvidt man overfører personopplysninger til tredjeland. Ved forespørsel fra tilsynsmyndigheten (Datatilsynet) må du kunne vise frem virksomhetens behandlingsprotokoll. Datatilsynet kan bruke den som grunnlag hvis de ønsker å granske deler av virksomheten din. En god behandlingsprotokoll vil også være viktig dokumentasjon på at organisasjonen oppfyller prinsippet om ansvarlighet. Prinsippet om ansvarlighet sier at virksomheten i tillegg til å følge loven, også må kunne bevise at den blir etterfulgt.
Forutsetningene for hvordan personopplysninger behandles kan, og vil, endres over tid i de fleste virksomheter. Eksempler på slike endringer kan være nye IT-systemer som blir implementert, digital utvikling og nye forretningsmuligheter, men det kan også være organisatoriske endringer og endrede arbeidsprosesser. Alt dette fører til at personopplysninger kan behandles på en annen måte, da må behandlingsprotokollen oppdateres. I tillegg skjer det ting i omverdenen som påvirker hva du trenger og ønsker å gjøre i virksomheten din, og personvernlovgivningen i seg selv kan selvfølgelig også endres.
Godt personvern og en oppdatert behandlingsprotokoll krever derfor mer enn en engangsinnsats. For å kunne overholde lovens krav må protokollen over behandling av personopplysninger gjennomgås kontinuerlig. I tillegg til kontinuerlig oppdatering av behandlingsprotokollen ved løpende endringer, så anbefaler vi at man minst 1 gang i året gjør en grundig kontroll av den. Her burde man involvere flere ledd i organisasjonen, en fullstendig gjennomgang av behandlingsprotokollen er ikke en jobb for bare 1 eller 2 personer.
Når en fullstendig behandlingsprotokoll er på plass, må den kontinuerlig gjennomgås for å sikre at den gjenspeiler virkeligheten i virksomheten. Noen punkter som det kan være vært å gjennomgå er:
Gjennomfør en DPIA (personvernkonsekvensevurdering) av behandlingsaktivitetene som kan medføre høy risiko.
Hva er formålet med en behandlingsprotokoll? Hvem har ansvaret for protokollen?
Vi har laget et faktaark som svarer på dette, samt det mest annet du lurer på om behandlingsprotokollen.
For å opprettholde en god personvernkultur med rutiner som skal følges, er det viktig å kontinuerlig utdanne og informere innen organisasjonen. Du må også ha rutiner for nyansatte og hvordan de skal introduseres for rutinene og retningslinjene som finnes i organisasjonen, samt hvem de skal kontakte ved spørsmål.
E-læring er en enkel måte å utdanne både eksisterende ansatte og nyansettelser. Med god kompetanse blir også arbeidet med behandlingsprotokollen enklere, og det som registreres blir sannsynligvis oftere korrekt.
I tillegg burde alle medarbeidere som jobber med tjeneste- og systemutvikling, eller annet som berører behandling av personopplysninger, involvere en person med ansvar for personvern på et tidlig stadium. Dette kan være avgjørende for en bærekraftig personvernpraksis på lang sikt.
For å ha kontroll over behandlingen av personopplysninger i en protokoll er det en stor fordel å ha et dedikert system som er tilpasset deres behov. I de fleste tilfeller må du søke, sortere, legge til notater eller dokumenter til de beskrevne behandlingene.
Visma Draftit har lang erfaring med å jobbe med personvern i mange forskjellige virksomheter og vet hva som kreves for at personvernarbeidet skal bli bra, samtidig som det er tilpasset deg. Med Privacy Records får du hjelp gjennom hele prosessen, og du kan identifisere risikoer og se status for de ulike oppgavene du oppretter. Underveis stiller systemet relevante kontrollspørsmål for å sikre at alt blir korrekt. Med vårt system for å føre og forvalte protokollen, blir det lett å skape, oppdatere, og få oversikt i behandlingsprotokkollen.