6 myter om behandlingsprotokollen
Et av de mest grunnleggende kravene i GDPR følger av artikkel 30. I følge bestemmelsen skal hovedsakelig alle behandlingsansvarlige føre protokoll over sine behandlingsaktiviteter. Det finnes noen myter om protokollføring som vi hører ofte. Vi skal hjelpe dere med å avkrefte 6 av disse mytene!
Myte 1: Mindre virksomheter trenger ikke å ha en behandlingsprotokoll
Mange virksomheter tror at de slipper å ha en behandlingsprotokoll, enten fordi de ikke behandler mye sensitiv data, eller fordi de er en mindre virksomhet med få ansatte. Sannheten er at alle virksomheter som behandler personopplysninger er lovpålagt å ha en behandlingsprotokoll. Samtidig er det er veldig få virksomheter som ikke behandler personopplysninger.
Myte 2: Vi er kun databehandlere, og trenger ikke å ha en behandlingsprotokoll
En annen myte er at virksomheter som er databehandlere for kunder ikke trenger å føre protokoll over behandlingsaktivitetene sine. Det fremgår av GDPR artikkel 30 at de fleste virksomheter, både behandlingsansvarlige og databehandlere, er lovpålagt å føre protokoll. Artikkel 30 stiller imidlertid litt ulike krav til innholdet i protokollen for databehandlere og behandlingsansvarlige.
Det er også verdt å merke seg at selv om virksomheten er databehandler for sine kunder og dermed ikke er behandlingsansvarlig for de aktuelle behandlingsaktivitetene som de foretar på vegne av kunden, vil virksomhetenfremdeles være behandlingsansvarlig for en del andre behandlinger. Dette er blant annet tilfellet der virksomheten behandler personopplysninger om sine ansatte, og i markedsføringsformål.
Myte 3: Protokollen skal ta utgangspunkt i systemer
Det er mange virksomheter som lager en behandlingsprotokoll ut ifra hvilke systemer de behandler personopplysninger i. Det å kartlegge de systemene virksomheten bruker kan være en fin start på protokollføringen, men vil neppe være tilstrekkelig til å oppfylle lovens krav til behandlingsprotokoll. For å forstå grunnen til dette, kan det være lurt å se på definisjonen av en «behandling» i forordningens artikkel 4 nr. 2. I følge bestemmelsen er en behandling:
«enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring (...)»
Videre i forordningen fastslås det at personopplysninger skal «samles inn for spesifikke, uttrykkelig angitte og berettigede formål og ikke viderebehandles på en måte som er uforenlig med disse formålene» (artikkel 5 nr. 1 bokstav b) og at behandlingene kun er lovlige dersom det foreligge et rettslig grunnlag for hver behandling (artikkel 6). En behandling er altså en sammenhengende prosess som utføres med personopplysninger for et bestemt formål, og som har et lovlig behandlingsgrunnlag. Det kan tenkes at det fremgår flere behandlingsaktiviteter i et system. For eksempel vil en virksomhet ha flere behandlingsaktiviteter i sitt HR-system, slik som lønnskjøring, medarbeidersamtaler, rekruttering, administrering av sykemeldinger, registrering av oppmøte, personalsaker osv. Alle disse er selvstendige behandlinger, og bør protokollføres.
Myte 4: Det er personvern-ombudet som er ansvarlig for å lage behandlingsprotokollen
Et personvernombud er ikke ansvarlig for personvernet i en virksomhet, men er en ressursperson for virksomheten i dens personvernarbeid. Loven stiller også krav til personvernets uavhengighet og faglige kvalifikasjoner. Dersom virksomheten ikke sørger for at personvernombudet har en uavhengig stilling, kan det resultere i sanksjoner fra tilsynsmyndighetene.
Personvernombudets hovedoppgaver er å informere og rådgi virksomheten i personvernspørsmål, kontrollere at forordningens regler overholdes, samarbeide med tilsynsmyndigheten der det trengs og være en kontaktperson mellom virksomheten og tilsynsmyndigheten. Ikke alle virksomheter trenger imidlertid å utnevne et personvernombud. Les mer om personvernombud i vårt nyhetsbrev.
Myte 5: Det er vanskelig/mye jobb å føre en behandlingsprotokoll
Ved første øyekast kan det se ut som det er mye jobb med å lage en behandlingsprotokoll. Det er først og fremst fordi mange kvier seg med å sette seg ned for å identifisere behandlingsaktiviteter og så kartlegge informasjonen som kreves etter loven.
Heldigvis har loven en liste over informasjon som skal kartlegges i protokollen. Virksomheten må sørge for at protokollen inneholder informasjon om blant annet
- navn og kontaktinformasjon på behandlingsansvarlig og databehandlere
- formålet med behandlingen
- hvilke kategorier av personopplysninger som behandles
en beskrivelse av disse hvor lenge du planlegger å beholde - personopplysningene før de slettes.
Det er altså viktig å starte med å lage en liste over behandlingsaktiviteter som virksomheten utfører. Så kan man begynne å kartlegge formål, behandlingsgrunnlag, sletterutiner, kategorier av personopplysninger mv.
En oppdatert protokoll er, i tillegg til å være et krav etter GDPR, et verdifullt verktøy for virksomheten. Protokollen hjelper virksomheten med å kartlegge flere sider av personvernarbeidet. Samtidig som man registrerer en behandlingsaktivitet i protokollen, kan man for eksempel bli oppmerksom på at sletterutinene må oppdateres, at det må innhentes samtykke fra de registrerte for enkelte behandlinger eller at enkelte behandlinger krever en vurdering av personvernkonsekvenser (DPIA).
På den andre siden kan det ha store konsekvenser om man har mangler i protokollen. Virksomheter risikerer sanksjoner og store bøter fra Datatilsynet dersom virksomheten ved tilsyn har manglende eller utdatert behandlingsprotokoll. Det er like viktig å holde behandlingsprotokollen oppdatert og korrekt, som det er å utarbeide den. Det er viktig for virksomheten å ha systemer og rutiner på plass for å sikre en god forvaltning av protokollen. Vår Privacy Records er et verktøy som hjelper mange virksomheter med nettopp dette.
Myte 6: Vi trenger ikke en protokoll, vi kommer uansett ikke til å bli kontrollert
Formålet med GDPR er å styrke kundenes rettigheter og øke standarden for innsamling og lagring av data. Det kommer alle individer innenfor EU og EØS til gode og skal forebygge et overvåkingssamfunn. Derfor er det viktig å også ha en bevisstgjøring i virksomheten om det viktige samfunnsperspektivet ved GDPR. Selv om ikke alle har fokus på dette samfunnsaspektet, er det kanskje et av de viktigste bakenforliggende hensynene i personvernregleverket. En økt bevisstgjøring på det samfunnsmessige perspektivet i GDPR kan derfor bidra til å skifte fokus fra frykt for kontrollmekanismer, til et ønske om å bidra til en positiv samfunnsutvikling.