Fem tips til en behandlingsprotokoll du faktisk kan bruke
KOMMENTAR: Personvernforordningen (GDPR) har en rekke dokumentasjonskrav, og ett av de mest sentrale er å etablere en behandlingsprotokoll, skriver Anja Herud.
For mange virksomheter kan denne plikten føles overveldende. Jeg deler derfor fem tips til hvordan gå frem for å lage en behandlingsprotokoll du faktisk kan bruke.
Bestemmelsen trekker frem en rekke krav til hva en protokoll over behandlingsaktiviteter skal inneholde, men den trekker ikke inn alle dokumentasjonspliktene man ellers har etter GDPR. Uavhengig av verktøyet man bruker, så kan en god behandlingsprotokoll være en løsning på den overveldende følelsen dokumentasjonskravene kan gi.
1.Hva gjør du med opplysningene? Beskriv det!
Hva gjør dere med personopplysningene, rent praktisk? Legges opplysningene i et system for analyse, eller lagres de kanskje et bestemt sted for å gi rettigheter til individer senere? Hva er aktiviteten som innebærer personopplysningene? Start med å beskrive bruken av opplysningene. Slik vil dere lettere kunne skape oversikt over hva dere leverer og hvordan dere gjør det. Andre prosesser, slik som personvernkonsekvensvurderinger (DPIA), vil være enklere å gjennomføre med god dokumentasjon av aktivitetene i bakhånd.
Dokumentasjon av behandlingsaktiviteter gir også et bilde av hvordan personopplysningene flyter i virksomheten, mellom ulike tjenester og formål.
Dokumentasjon av behandlingsaktiviteter gir også et bilde av hvordan personopplysningene flyter i virksomheten, mellom ulike tjenester og formål. Det kan synliggjøre organisatoriske sammenhenger som kan bidra til mer effektivt arbeid i prosjekter. Hvis du eksempelvis kan sjekke protokollen før du starter et prosjekt, for å se om noen har en aktivitet og en bruk av personopplysninger som kan være viktig, vil det bidra til effektivitet og samhandling.
2. Hva er hjemmelen for aktiviteten? Vis til den!
For å behandle personopplysninger trenger dere hjemmel for behandlingsaktiviteten. Også omtalt som et behandlingsgrunnlag. Det kan eksempelvis basere seg på avtaler inngått med de registrerte som man kan henvise til, samtykker eller annen dokumentasjon som viser hvorfor behandlingen er nødvendig.
Ettersom grunnlaget er nødvendig for å kunne behandle personopplysninger, er det et naturlig element i protokollen. Ved å legge behandlingsgrunnlaget i protokollen kan dere enkelt knytte det opp mot andre krav dere er pålagt. Behandling av personopplysninger kan blant annet være en del av en plikt dere har etter annet regelverk, for eksempel for å levere tjenester innen skole, helse eller økonomi.
Det blir også lettere å begrunne behandling av personopplysninger når grunnlaget er dokumentert og tilgjengelig, for eksempel ved innsynsforespørsler fra de registrerte. Det gjør arbeidsprosesser enklere for flere hvis man får oversikt over hvilke opplysninger og formål som er underlagt ulike typer rettslige rammer.
3. Har dere mange systemer? Vis det!
Oversikt over hvilke systemer som behandler ulike personopplysninger gir bedre arbeidsflyt. Det kan også være en arbeidsstøtte ved at ansatte vet hvor de finner ulik informasjon. Plassering av personopplysninger kan være kritisk å vite dersom dere blir utsatt for et sikkerhetsbrudd. På denne måten vil dere raskere kunne oppdage hvilke systemer som er påvirket, hvilken informasjon som ligger i disse systemene, noe som har mye å si for alvorlighetsgraden av bruddet. Det er også nødvendig å vite om Datatilsynet må varsles. Plasseringen sier også noe om hvilke leverandører som må involveres eller hvilke rutiner som avviker og må forbedres.
Plassering av personopplysninger kan være kritisk å vite dersom dere blir utsatt for et sikkerhetsbrudd.
En oversikt over virksomhetens systemer gjør at dere kan stille gode krav til innebygd personvern og finne riktige sikkerhetstiltak. Det vil gi et godt bilde på dataflyt, og skape mer kontroll over hvilke lisenser og avtaler dere har. I tillegg vil det gjøre det lettere å ta en vurdering på om noe kan reforhandles, fornyes eller fases ut. Kostnadsbesparelsene kan være store på dette området. Med større oversikt over hvor opplysninger befinner seg er det også lettere å kontrollere mulige risikoer ved leverandører. Samlet sett vil oversikten over systemer gi et godt grunnlag til vurderinger som må gjøres, sett i lys av den mye omtalte Schrems II-dommen.
4. Ta vare på de registrerte
De registrerte er enkeltindivider, og våre rettigheter har et sterkt fokus i forordningen. Ved henvendelser fra de registrerte om innsyn i egne personopplysninger må dere kunne svare på blant annet hva hjemmelen for behandlingen av personopplysninger er, hvem de deles med og hvorfor. En god behandlingsprotokoll kan forenkle prosessen og gjøre det enklere for de registrerte å få oppfylt sine rettigheter og for dere å overholde pliktene.
Personvernerklæringen, som ofte er der man forteller brukerne/kundene hva som skjer med personopplysningene, kan mange steder oppleves som en overveldende tekst. Denne kan gjøres enklere og mer presis med bakgrunn i det som allerede er dokumentert i en behandlingsprotokoll. Forenklede personvernprosesser er god kundeservice for de registrerte og det kan bli en konkurransefordel for virksomheten.
5. Vær litt spenstig!
Selv om behandlingsprotokoll er et langt og tungt ord, behøver ikke prosessen å være det samme. Til tross for at tilsynelatende mange velger lange Excel-dokumenter man helst ikke vil åpne igjen, er det lov å være kreativ i utformingen. Bruk et verktøy dere liker, eller lag kreative prosesser rundt innsamling- og dokumentasjonsarbeidet.
Behandlingsprotokollene har ikke annet formkrav enn at de skal være skriftlige og elektroniske. Det gir mange tilpasningsmuligheter slik at behandlingsprotokollen kan gjøres til en enklere prosess som gjør mer enn å bare dokumentere minstekrav i tilfelle Datatilsynet kommer på besøk.
Anja Herud, seniorkonsulent innen personvern i Sopra Steria
