Gå til hovedsiden

Hvordan føre protokoll i henhold til GDPR-regelverket?

Alle virksomheter som behandler personopplysninger, skal føre protokoll over behandlingsaktiviteter i henhold til GDPR-regelverket. Utfordringen er å føre en slik protokoll på en effektiv, sikker og oversiktlig måte. Hva er egentlig en protokoll? Og hvordan skal man føre protokoll?

Hvordan føre protokoll i henhold til GDPR?
Hvordan føre protokoll i henhold til GDPR?

Enkelt forklart er protokoll en oversikt over de personopplysningene en virksomhet behandler. Protokollen skal blant annet inneholde informasjon om formål med behandlingen, hvilke kategorier av personopplysninger den inneholder, og hvem personopplysningene deles med.

Det er to formål med hvorfor man skal føre protokoll. For det første er det lovfestet i artikkel 30 i Lov om behandling av personopplysninger (personopplysningsloven) at alle virksomheter som behandler personopplysninger skal føre protokoll over behandlingsaktiviteter som utføres under deres ansvar. 

Tanken er at når man blir “tvunget” til å reflektere over og dokumentere hvilke typer personopplysninger man behandler, vil fremprovosere en kultur som er observante på hvordan man behandler personopplysninger og hvordan de brukes. 

For det andre skal man være forberedt når man eventuelt får besøk av eller er i kontakt med Datatilsynet. De ønsker ofte å begynne med å se på protokollen til en virksomhet. Det fordi statusen på protokollen (om den ser bra ut, er dårlig eller ikke eksisterer) er et veldig ærlig bilde på hvordan ting står til. 

Visma Compliance er en løsning som gjør det enkelt å få kontroll på dine behandlingsaktiviteter. Last ned brosjyre for å lære mer om Visma Compliance. 

Last ned brosjyren her

Hvordan skal en protokoll se ut?

Det finnes ingen formkrav til hvordan en protokoll skal føres eller hvilke verktøy man skal bruke. Dette har ført til at en rekke virksomheter har tatt i bruk Excel som verktøy. Men som en stor virksomhet eller organisasjon kan dette raskt bli uoversiktlig, forutsigbart og derfor også rotete. Store virksomheter behandler som oftest en mye data for ulike formål. I Excel støter man da på et mareritt av rader og kolonner. 

Det som det settes krav til er derimot innholdet i protokollen. Fra Datatilsynet er det også ønskelig med flere felter enn det som er obligatorisk, for at protokollen skal fungere som et godt hjelpemiddel i arbeidet med databehandlingen. 

Velg et verktøy som hjelper deg

Visma Compliance er en online SaaS-tjeneste som på en sikker og enkel måte lar virksomheter føre protokoll i henhold til artikkel 30. Ved registrering av en ny behandlingsaktivitet, blir brukeren veiledet gjennom et skjema med felter for utfylling. Her registreres informasjon om behandlingsgrunnlag, hvilke typer personopplysninger det er snakk om, hvor de er lagret, når de skal slettes osv. Det er informasjon som hver behandlingsansvarlig ifølge artikkel 30 i personopplysningsloven er pliktig til å inkludere i protokollen. 

Søk- og filtreringsfunksjonen gjør det enkelt å finne frem til behandlinger knyttet til for eksempel en gitt persongruppe, avdeling eller IT-system. I tillegg til å kunne registrere den lovpålagte informasjonen om hver enkelt behandlingsaktivitet, kan virksomheten registrere informasjon knyttet til protokollen i sin helhet. 

Les mer på Visma Compliance her. 

Dette må være med i protokollen

Datatilsynet har laget en oversikt over hvilke elementer virksomheter er pliktig til å ha med i en protokoll. Her er deres oversikt

Den behandlingsansvarliges protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet.
  1. Formålene med behandlingen.
  1. En beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
  1. Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner.
  1. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  1. Dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
  1. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Databehandlerens protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant og personvernombudet.
  1. Kategoriene av behandling utført på vegne av hver behandlingsansvarlig.
  1. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  1. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.