Choose language
image (1)

En behandlingsprotokoll du faktisk kan bruke

Få en tydelig og oppdatert oversikt over hvordan personopplysninger behandles i virksomheten. Behandlinger, ansvar og status samles på ett sted – slik at ingenting faller mellom to stoler.

  • samlet oversikt over alle behandlingsaktiviteter
  • se hva som er oppdatert – og hva som mangler
  • tydelig ansvar knyttet til hver behandling

Strukturen speiler den faktiske behandlingen av personopplysninger og kan brukes direkte både i intern oppfølging og ved ekstern kontroll.

 

produkt_1

Løpende oppdatering med full sporbarhet

Behandlingsprotokollen oppdateres i takt med at virksomheten utvikler seg. Dokumentasjonen følger arbeidsprosesser, beslutninger og ansvar – ikke omvendt.

  • få varsler når informasjon bør gjennomgås eller oppdateres
  • dokumenter endringer, beslutninger og ansvar med historikk
  • jobb i samme oppdaterte grunnlag – uavhengig av rolle

En enklere måte å holde behandlingsprotokollen oppdatert

Med tydelig struktur, klare ansvarsforhold og full oversikt over behandlingsaktiviteter blir det enklere å holde protokollen korrekt og oppdatert. Dokumentasjonen er alltid klar når dere trenger den – enten det gjelder intern kontroll eller tilsyn.

graphics-full_control_and_clarity

1. Full oversikt over behandlingsaktiviteter

Se umiddelbart hva som er oppdatert, hva som mangler og hva som krever tiltak. Det gjør det enklere å sikre at dokumentasjonen oppfyller kravene i GDPR.

graphics-smart_automation

2. Dokumentasjon som holder seg oppdatert

Systemet varsler når informasjon bør vurderes eller oppdateres. Arbeidet følger en strukturert prosess som reduserer manuelt arbeid og sikrer at protokollen forblir korrekt.

graphics-easy_collaboration

3. Enklere revisjon og samarbeid

Del ansvar, endringer og dokumentasjon direkte i løsningen. Alle arbeider i samme oppdaterte grunnlag, noe som gjør revisjoner enklere og reduserer risikoen for misforståelser og dobbeltarbeid.

protokoll_v2

Gjør personvernarbeidet enklere i praksis

Behandlingsprotokollen gir et tydelig og oppdatert bilde av virksomhetens behandlinger – uten ekstra administrasjon.

Du sparer tid, reduserer risikoen for feil og kan dokumentere etterlevelse når det kreves.

 
 

Kontroll på behandlingsprotokollen – uten unødvendig arbeid

Når protokollen er strukturert i et digitalt verktøy, blir det enklere å holde oversikt og følge opp arbeidet over tid.

menu_book

Juridisk trygghet

Få kontroll på dokumentasjonen og trygghet i at protokollen oppfyller kravene i GDPR.

nest_clock_farsight_analog_200dp_1F1F1F_FILL0_wght200_GRAD0_opsz48

Spar tid

Automatiserte oppdateringer og rapporter gjør at du slipper å samle informasjon fra flere steder.

display_settings

Enkel oppstart

Strukturen er klar fra start. Du fyller bare inn informasjonen som gjelder for virksomheten.

approval_delegation

Alltid oppdatert

Når regelverket utvikler seg, oppdateres systemet slik at protokollen fortsatt speiler gjeldende krav.

Brukt av virksomheter over hele Norden

Når behandlingsprotokollen er strukturert i et system, blir det enklere å dokumentere, oppdatere og følge opp behandlingsaktiviteter – uavhengig av virksomhetens størrelse.

Vi oppdaterer behandlingsprotokollen fortløpende, siden vi gjennomfører ulike kurs og behandler personopplysninger forskjellig avhengig av kurs. Vi er også behandlingsansvarlig for egne ansatte, så det er viktig å holde protokollen ajour når rutiner og systemer endres. Verktøyet gir oss god oversikt, og vi har erfart at det er enkelt å hente ut rapporter når kunder ber om det.

Monica Renå Olsen

iFrontKarriere

Ofte stilte spørsmål om behandlingsprotokollen etter GDPR

Vi har samlet de vanligste spørsmålene virksomheter stiller om behandlingsprotokoll, fra hva den skal inneholde til hvordan du holder den oppdatert i tråd med GDPR.

En behandlingsprotokoll (eller oversikt over behandlingsaktiviteter) er en intern dokumentasjon som viser hvordan virksomheten behandler personopplysninger. Den viser formål, kategorier av opplysninger, rettslig grunnlag, mottakere, lagringsperioder og sikkerhetstiltak. Kravet er regulert i artikkel 30 i personvernforordningen (GDPR) og er et sentralt verktøy for å vise ansvarlighet etter artikkel 5 nr. 2.

Alle behandlingsansvarlige (den som bestemmer formålet med behandlingen) og databehandlere (den som behandler opplysninger på vegne av andre) er forpliktet til å føre en oversikt over behandlinger – også kalt behandlingsprotokoll. Virksomheter med færre enn 250 ansatte har et unntak, men dette gjelder kun dersom alle følgende vilkår er oppfylt (artikkel 30 nr. 5):

  • Behandlingen skjer bare unntaksvis (ikke løpende, som for eksempel personal- eller kundeadministrasjon)
  • Behandlingen er ikke sannsynlig å medføre risiko for de registrertes rettigheter og friheter
  • Behandlingen omfatter ikke særlige kategorier av personopplysninger (såkalte sensitive opplysninger som helse, religion, etnisk opprinnelse – se artikkel 9) eller opplysninger om straffbare forhold (artikkel 10)

I praksis innebærer dette at nesten alle virksomheter må ha en behandlingsprotokoll.

I henhold til artikkel 30 nr. 1 og 30 nr. 2 skal protokollen minst inneholde følgende informasjon:

For behandlingsansvarlige:

  • Navn og kontaktinformasjon til virksomheten og eventuelt personvernombud
  • Formålet med behandlingen
  • Kategorier av registrerte og typer personopplysninger
  • Mottakere eller kategorier av mottakere
  • Eventuelle overføringer til tredjeland eller internasjonale organisasjoner
  • Planlagte tidsfrister for sletting
  • En generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak

For databehandlere:

  • Navn og kontaktinformasjon til databehandleren, den behandlingsansvarlige og eventuelt personvernombud
  • Kategorier av behandlinger som utføres på vegne av den behandlingsansvarlige
  • Eventuelle overføringer til tredjeland
  • En generell beskrivelse av sikkerhetstiltak

Nei. Protokollen skal ikke sendes inn proaktivt, men skal kunne fremvises på forespørsel fra Datatilsynet (i henhold til artikkel 30 nr. 4). Det betyr at den skal oppbevares internt, men være tilgjengelig for tilsynsmyndigheten når de ber om det.

Kravet følger direkte av artikkel 30 i GDPR, og støttes av:

  • Artikkel 5 nr. 2 (ansvarlighet)
  • Artikkel 24 (den behandlingsansvarliges ansvar)
  • Artikkel 28 (databehandlerens ansvar)
Protokollen fungerer som dokumentasjon på at virksomheten behandler personopplysninger lovlig, korrekt og på en åpen måte.

Behandlingsprotokollen er en intern dokumentasjon som viser hvordan virksomheten faktisk behandler personopplysninger. Personvernerklæringen (også kalt personopplysningspolicy) er derimot et eksternt dokument som informerer de registrerte om hvordan opplysningene deres behandles, i tråd med artiklene 12–14. De to dokumentene må stemme overens, men har ulike formål – protokollen viser intern etterlevelse, mens personvernerklæringen oppfyller informasjonsplikten.

Det finnes ingen fast tidsfrist i loven, men protokollen skal alltid være oppdatert. Den skal endres hver gang behandlingen justeres – for eksempel når nye systemer tas i bruk, formål endres, eller nye mottakere legges til. Mange virksomheter gjennomfører en årlig gjennomgang som del av sitt personvernarbeid, noe Datatilsynet også anbefaler i sine veiledninger. 

Å mangle en korrekt eller oppdatert behandlingsprotokoll regnes som et brudd på artikkel 30 og artikkel 5 nr. 2, og kan føre til:

  • Pålegg eller advarsel fra Datatilsynet (i henhold til artikkel 58)
  • Overtredelsesgebyr på opptil 10 millioner euro eller 2 % av den globale årsomsetningen (artikkel 83 nr. 4.)
I tillegg risikerer virksomheten å ikke kunne dokumentere at den oppfyller sine plikter etter GDPR.

Ja. Artikkel 30 nr. 3 slår fast at protokollen skal være skriftlig og kan føres elektronisk.Det stilles ikke krav til et bestemt format eller en fast mal, men all informasjon som kreves etter artikkel 30 må inngå. Datatilsynet anbefaler at protokollen er strukturert, lett tilgjengelig og sporbar – gjerne i et digitalt system.

Behandlingsprotokollen er et sentralt grunnlag i virksomhetens personvernarbeid og brukes som utgangspunkt for flere andre plikter etter GDPR:

  • Risikovurderinger og konsekvensvurderinger (DPIA), artikkel 35
  • Databehandleravtaler, artikkel 28
  • Internkontroll og ansvar, artikkel 24
  • Sikkerhetstiltak, artikkel 32
  • Revisjon og tilsyn
Uten en oppdatert behandlingsprotokoll er det vanskelig å dokumentere faktisk etterlevelse av personvernforordningen.