Systematisk dokumentasjon av behandlingen av personopplysninger er ikke bare praktisk, men for mange organisasjoner også et lovmessig krav. I henhold til artikkel 30 i GDPR skal dette gjøres i form av en protokoll der man dokumenterer alle behandlingsaktiviteter. En slik oversikt kalles ofte bare for behandlingsprotokoll.
Behandlingsprotokollen skal gi en oversikt over hvilke typer personopplysninger virksomheten behandler, hvem opplysningene gjelder (for eksempel ansatte, kunder eller innbyggere), hva formålet med behandlingen er, og om opplysningene overføres til land utenfor EU/EØS (tredjeland).
Dersom Datatilsynet ber om innsyn, må du kunne legge frem protokollen. Den kan brukes som grunnlag for videre tilsyn eller kontroll av spesifikke deler av virksomheten.
I tillegg er behandlingsprotokollen viktig dokumentasjon på at virksomheten følger personvernregelverket – og at dere faktisk kan bevise det. Dette handler om det såkalte ansvarlighetsprinsippet: Det er ikke nok å følge loven – dere må også kunne vise at dere gjør det.
Måten virksomheten behandler personopplysninger på, endrer seg over tid. Kanskje har dere tatt i bruk nye IT-systemer, endret arbeidsprosesser eller funnet nye forretningsmuligheter. Kanskje har det skjedd endringer i organisasjonen, eller i personvernlovgivningen. Alt dette kan påvirke hvordan dere behandler personopplysninger – og da må også behandlingsprotokollen oppdateres.
Et godt personvern krever mer enn én innsats én gang. For å overholde lovens krav må protokollen holdes oppdatert – både når endringer skjer, og gjennom jevnlige gjennomganger. Vi anbefaler en grundig gjennomgang minst én gang i året. Da bør flere i virksomheten involveres – dette er ikke en jobb for bare én person.
Når dere har en oppdatert og komplett behandlingsprotokoll på plass, må den speile virkeligheten. Her er noen punkter det kan være lurt å gå gjennom:
Er alle behandlingsaktiviteter dokumentert? Husk også de ustrukturerte, som opplysninger i e-post eller møtenotater.
Er det kommet nye behandlinger, eller har eksisterende blitt endret?
Har noen avdelinger gjort endringer? Snakk med HR, IT, marked og andre – kanskje de har tatt i bruk nye systemer, leverandører eller begynt å samle inn personopplysninger til nye formål.
Er opplysningene i protokollen komplette og korrekte? De skal være i tråd med kravene i GDPR artikkel 30.
Er det kommet lovendringer eller ny praksis som krever justeringer i protokollen?
Er sikkerhetstiltakene gode nok – og fungerer de i praksis?
Fungerer rutinen for å håndtere avvik og brudd på personopplysningssikkerheten?
En behandlingsprotokoll er ikke et dokument du lager én gang og legger bort. Den må holdes levende og oppdatert – ellers mister den verdien både som verktøy og dokumentasjon.
Det er også viktig å gjennomfør en DPIA (personvernkonsekvensevurdering) av behandlingsaktivitetene som kan medføre høy risiko.
For å opprettholde en god personvernkultur med rutiner som skal følges, er det viktig å kontinuerlig utdanne og informere innen organisasjonen. Dette kan enkelt gjøres gjennom å tilby kurs i personvern.
Du må også ha rutiner for nyansatte og hvordan de skal introduseres for rutinene og retningslinjene som finnes i organisasjonen, samt hvem de skal kontakte ved spørsmål.
E-læring er en enkel måte å utdanne både eksisterende ansatte og nyansettelser. Med god kompetanse blir også arbeidet med behandlingsprotokollen enklere, og det som registreres blir sannsynligvis oftere korrekt.
I tillegg burde alle medarbeidere som jobber med tjeneste- og systemutvikling, eller annet som berører behandling av personopplysninger, involvere en person med ansvar for personvern på et tidlig stadium. Dette kan være avgjørende for en bærekraftig personvernpraksis på lang sikt.
For å ha kontroll over behandlingen av personopplysninger i en protokoll er det en stor fordel å ha et dedikert system som er tilpasset deres behov. I de fleste tilfeller må du søke, sortere, legge til notater eller dokumenter til de beskrevne behandlingene.
Visma Draftit har lang erfaring med å jobbe med personvern i mange forskjellige virksomheter og vet hva som kreves for at personvernarbeidet skal bli bra, samtidig som det er tilpasset deg.
Med vår behandlingsprotokoll (Privacy Records= får du hjelp gjennom hele prosessen, og du kan identifisere risikoer og se status for de ulike oppgavene du oppretter. Underveis stiller systemet relevante kontrollspørsmål for å sikre at alt blir korrekt.
Book en uforpliktende demo i dag.