Hold behandlingsprotokollen oppdatert
Systematisk dokumentasjon av behandlingen av personopplysninger er ikke bare praktisk, men for mange organisasjoner også et lovmessig krav. I henhold til artikkel 30 i GDPR skal dette gjøres i form av en protokoll der man dokumenterer alle behandlingsaktiviteter. En slik oversikt kalles ofte bare for behandlingsprotokoll.
Behandlingsprotokollen skal blant annet inneholde alle kategorier av personopplysninger som behandles av organisasjonen, hvem (kategorier av personer, eks. ansatte, innbyggere, kunder) som får sine personopplysninger behandlet, formålet med behandlingen, og hvorvidt man overfører personopplysninger til tredjeland. Ved forespørsel fra tilsynsmyndigheten (Datatilsynet) må du kunne vise frem virksomhetens behandlingsprotokoll. Datatilsynet kan bruke den som grunnlag hvis de ønsker å granske deler av virksomheten din. En god behandlingsprotokoll vil også være viktig dokumentasjon på at organisasjonen oppfyller prinsippet om ansvarlighet. Prinsippet om ansvarlighet sier at virksomheten i tillegg til å følge loven, også må kunne bevise at den blir etterfulgt.
Kontinuerlig kontroll av behandlingsprotokollen
Forutsetningene for hvordan personopplysninger behandles kan, og vil, endres over tid i de fleste virksomheter. Eksempler på slike endringer kan være nye IT-systemer som blir implementert, digital utvikling og nye forretningsmuligheter, men det kan også være organisatoriske endringer og endrede arbeidsprosesser. Alt dette fører til at personopplysninger kan behandles på en annen måte, da må behandlingsprotokollen oppdateres. I tillegg skjer det ting i omverdenen som påvirker hva du trenger og ønsker å gjøre i virksomheten din, og personvernlovgivningen i seg selv kan selvfølgelig også endres.
Godt personvern og en oppdatert behandlingsprotokoll krever derfor mer enn en engangsinnsats. For å kunne overholde lovens krav må protokollen over behandling av personopplysninger gjennomgås kontinuerlig. I tillegg til kontinuerlig oppdatering av behandlingsprotokollen ved løpende endringer, så anbefaler vi at man minst 1 gang i året gjør en grundig kontroll av den. Her burde man involvere flere ledd i organisasjonen, en fullstendig gjennomgang av behandlingsprotokollen er ikke en jobb for bare 1 eller 2 personer.
Når en fullstendig behandlingsprotokoll er på plass, må den kontinuerlig gjennomgås for å sikre at den gjenspeiler virkeligheten i virksomheten. Noen punkter som det kan være vært å gjennomgå er:
- Sjekk at alle behandlinger i organisasjonen er dokumentert, også de ustrukturerte (for eksempel personopplysninger i e-post, møtedokumentasjon osv.).
- Sjekk om noen behandlinger har blitt lagt til eller nylig endret.
- Involver ulike avdelinger i virksomheten din. Ta kontakt med for eksempel IT-, HR- og markedsavdelingen for å se om de har endret noe i hvordan de behandler personopplysninger. Har noen innført et nytt system, fått en ny tjenesteleverandør eller begynt å samle inn personopplysninger for et nytt formål?
- Sørg for at informasjonen for hver oppføring i registeret er komplett og korrekt, i samsvar med lovens krav (primært artikkel 30 i GDPR).
- Gå gjennom aktuelle lovendringer og relevant praksis. Har noe endret seg som gjør at dere må gjøre justeringer i behandlingsaktivitetene i protokollen?
- Sjekk at tilstrekkelige organisatoriske og tekniske sikkerhetstiltak er på plass og fungerer.
- Kontroller at prosessen for hvordan organisasjonen håndterer avvik (brudd på personopplysningssikkerheten) fungerer i praksis.
Gjennomfør en DPIA (personvernkonsekvensevurdering) av behandlingsaktivitetene som kan medføre høy risiko.
Hva er formålet med en behandlingsprotokoll? Hvem har ansvaret for protokollen?
Vi har laget et faktaark som svarer på dette, samt det mest annet du lurer på om behandlingsprotokollen.
Fortsett å utdanne og informere om personvern
For å opprettholde en god personvernkultur med rutiner som skal følges, er det viktig å kontinuerlig utdanne og informere innen organisasjonen. Du må også ha rutiner for nyansatte og hvordan de skal introduseres for rutinene og retningslinjene som finnes i organisasjonen, samt hvem de skal kontakte ved spørsmål.
E-læring er en enkel måte å utdanne både eksisterende ansatte og nyansettelser. Med god kompetanse blir også arbeidet med behandlingsprotokollen enklere, og det som registreres blir sannsynligvis oftere korrekt.
I tillegg burde alle medarbeidere som jobber med tjeneste- og systemutvikling, eller annet som berører behandling av personopplysninger, involvere en person med ansvar for personvern på et tidlig stadium. Dette kan være avgjørende for en bærekraftig personvernpraksis på lang sikt.
Trygg og god behandlingsprotokoll - etter deres behov
For å ha kontroll over behandlingen av personopplysninger i en protokoll er det en stor fordel å ha et dedikert system som er tilpasset deres behov. I de fleste tilfeller må du søke, sortere, legge til notater eller dokumenter til de beskrevne behandlingene.
Visma Draftit har lang erfaring med å jobbe med personvern i mange forskjellige virksomheter og vet hva som kreves for at personvernarbeidet skal bli bra, samtidig som det er tilpasset deg. Med Privacy Records får du hjelp gjennom hele prosessen, og du kan identifisere risikoer og se status for de ulike oppgavene du oppretter. Underveis stiller systemet relevante kontrollspørsmål for å sikre at alt blir korrekt. Med vårt system for å føre og forvalte protokollen, blir det lett å skape, oppdatere, og få oversikt i behandlingsprotokkollen.