Hva kreves av dokumentasjon etter GDPR?

At det er et krav til dokumentasjon etter GDPR er noe de fleste har fått med seg, men hva ligger det i dette? Med dokumentasjon menes at det må foreligge skriftlige dokumenter som viser at man etterkommer de ulike kravene etter GDPR. Kravene til dokumentasjon er ikke klare i GDPR, så her er det lett å overse kravene. Her gis det en oversikt over dokumentasjon som bør foreligge.

I reglene i GDPR står det sjelden klart at det skal foreligge dokumentasjon, men det forutsettes i flere bestemmelser at dokumentasjon skal foreligge. Et eksempel på dette er kravet om at behandling av personopplysninger skal gis tilstrekkelig sikkerhet avhengig av behandlingen som skal forestas, se GDPR artikkel 32. Etter denne bestemmelsen skal behandlingsansvarlige og databehandleren «gjennomføre egnede tekniske og organisatoriske tiltak for å oppnå et sikkerhetsnivå som er egnet i forhold til risikoen» ved behandlingen. Det står ikke at tiltakene skal dokumenteres, men det er vanskelig å gjennomføre tiltak eller vise at tiltak er gjennomført uten at det foreligger dokumentasjon. Dokumentasjonen blir da «bevis» på at tiltak er gjennomført, og reglene må derfor forstås slik at det skal foreligge dokumentasjon selv om det ikke står klart.

Dokumentasjon er også det første Datatilsynet ber om og gjennomgår ved tilsyn. Men det er langt viktigere å ha dokumentasjonen på plass for å redusere risikoen for at virksomheten bryter personvernreglene, og derved unngå overtredelser (og da eventuelle bøter og omdømmetap), enn at man kun lager dokumentasjonen i tilfelle tilsyn.

«Det viktigste er at virksomheter kan dokumentere at de har et bevisst forhold til personvern, og dette gjør at man ikke trenger å være 100 % i mål når GDPR får virkning 25. mai 2018.»

– Direktør i Datatilsynet, Bjørn Erik Thon

I ovennevnte artikkel 32 er det krav til tiltak for å oppnå et riktig sikkerhetsnivå som skal gjennomføres. Dette omtales også om informasjonsikkerhetstiltak, og disse må således dokumenteres for å vise at de er gjennomført. Informasjonsikkerhet og rutiner for å ivareta sikkerheten for personopplysningene er derfor noe av det mest sentrale som skal dokumenteres knyttet til personverntiltakene. Se bl.a. hvilke tiltak som kan dokumenteres i artikkel 32, og merk at det skal gjennomføres tiltak for å sikre at enhver fysiske person som har tilgang til personopplysninger bare behandler opplysningene bare etter instruks fra den behandlingsansvarlige. Det kan være hensiktsmessig å vurdere tiltakene knyttet til hovedelementene for informasjonssikkerhet, som konfidensialitet (begrense tilgang til opplysningene), integritet (verne opplysningene mot utilsiktet sletting eller endring) og tilgjengelighet (sikre at opplysningene er tilgjengelig når det er behov for det). Sikringen kan være teknisk eller organisatorisk, etter bestemmelsen, men man må heller ikke glemme den fysiske sikringen.

Skjer det et brudd på informasjonsikkerheten (eller personopplysingssikkerheten som det omtales i avsnitt 2 i GDPR), så må dette dokumenteres. Ethvert brudd på personopplysningssikkerheten skal dokumenteres, herunder de faktiske forhold rundt bruddet, virkningene av det og hvilke tiltak som er truffet for å utbedre bruddet (avvikshåndteringen), se GDPR artikkel 33. En normal del av avviksrutiner er også tiltak som gjøres for å (eventuelt) sørge for at bruddet ikke oppstår igjen. Denne dokumentasjonen skal gjøre det mulig for Datatilsynet å kontrollere om virksomheten har tilstrekkelig personopplysningssikkerhet.

Ved brudd så skal dette varsles til Datatilsynet, og eventuelt den registrerte, det det bør derfor foreligge rutine for varsling av Datatilsynet. Siden det er kort frist for å varsle Datatilsynet (innen 72 timer fra en blir kjent med bruddet) og eventuelt de registrerte (uten ugrunnet opphold fra bruddet), se nærmere i GDPR artikkel 33 og 34.

Risikovurdering. Det følger av GDRP artikkel 24 at den behandlingsansvarlige skal gjennomføre «egnede tekniske og organisatoriske tiltak for å sikre og påvise at behandlingen utføres i samsvar med» GDPR. Hvilke tiltak dette er, skal baseres på «hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, samt risikoene av varierende sannsynlighets- og alvorlighetsgrad for fysiske personers rettigheter og friheter». Dette er ikke akkurat klartekst, og ikke så lett forståelig, men det som menes er at det skal forestas en risikovurdering hvor forholdene ved behandlingen og risikoen ved denne (altså sannsynligheten for brudd i forhold til konsekvensene ved brudd) skal vurderes mot personvernhensynet til de registrerte.

Så følger det av andre avsnitt i denne bestemmelsen at dersom «det står i forhold til behandlingsaktivitetene, skal tiltakene» som nevnt ovenfor «omfatte den behandlingsansvarliges iverksetting av retningslinjer for vern av personopplysninger». Dette innebærer at resultatet av risikovurderingen skal tas inn som tiltak i de rutiner og retningslinjer som virksomheten har, altså en dokumentasjonsplikt. Det kan også være hensiktsmessig å dokumentere selve risikovurderingen, siden dette er grunnlaget for tiltakene. Oppsummert: Det skal gjennomføres en risikovurdering, hvor tiltakene (som skal være avhengig av behandlingens art, omfang, formål mv.) for å sikre personopplysningene, skal inntas i virksomhetens rutiner og prosedyrer.

Vurdering av personvernkonsekvenser. En spesielt regulert form for risikovurdering er vurdering av personvernkonsekvenser (også kalt konsekvensanalyser eller Data Protection Impact Asssessments – DPIA) som skal gjennomføres dersom «en type behandling, særlig ved bruk av ny teknologi og idet det tas hensyn til behandlingens art, omfang, formål og sammenhengen den utføres i, vil medføre en høy risiko for fysiske personers rettigheter og friheter». Behandler en virksomhet personopplysninger slik at det vil kunne være behov for å gjennomføre personvernkonsekvensvurderinger, så bør det foreligge rutiner for dette, men enn viktigere er det at det dokumenteres at vurderingen er foretatt og hva som er resultatet av vurderingen (eller hvorfor man ikke gjennomførte en vurdering dersom det var tvil om det skulle gjennomføres).

Prosedyrer og rutiner. Som nevnt ovenfor, er det en plikt for virksomheter å overholde reglene i personopplysningsloven/GDPR, og for å sørge for at man overholder reglene må man ha kontroll på virksomheten. For å ha kontroll på virksomheten, må man ha rutiner og prosedyrer (som ofte omtales som «internkontrollrutiner», selv om dette begrepet benyttes ikke i GDPR). Det er disse rutinene og prosedyrene som må dokumenteres for å vise at virksomheten overholder reglene, samt å ha rutiner for å håndtere det at virksomheten ikke overholder reglene (såkalte avvikshåndtering, se ovenfor). Rutinene vil ofte være et utslag av risikovurderingen (se nedenfor), og rutinene vil derfor hensynta funnene fra risikovurderingen. Omfanget av rutinene vil derfor normalt måtte reflektere risikovurderingen, som igjen reflekterer omfanget av behandlingen av personopplysninger, så derfor vil mer omfattende og risikabel behandling medføre mer omfattende og strenge rutiner.

Det er få eksplisitte (dvs. hvor det fremgår av teksten til GDPR) krav til at det skal foreligge rutiner. Men som nevnt så forutsettes det at det er tiltak og rutiner for å sikre behandlingen, og for å dokumentere at tiltak og rutiner er innført, må det foreligge rutiner. Disse rutinene vil bl.a. kunne være:

  • Rutiner for hvordan behandlingens lovlighet sikres, som at det foreligger lovlig grunnlag for å behandle personopplysningene (behandlingsgrunnlag), herunder for særlige kategorier opplysninger, og hvordan det skal sikres at behandlingen kun behandles innenfor og så lenge formålet for innsamlingen av opplysningene foreligger.
  • Rutine for oppstart og opphør av behandling av personopplysninger, herunder at behandlingen skal inntas i behandlingsoversikten, se nedenfor, hvem som beslutter behandling, hvilke plikter som foreligger ved behandlingen mv.
  • Rutiner for å sikre personopplysningenes riktighet, dvs. hvordan personopplysninger oppdateres, rettes, endres og slettes (når relevant)
  • Rutiner for hvordan lagringsbegrensning, herunder når sletting, psedonymisering og anonymisering skal gjøres og hvordan dette skal gjøres.
  • Rutiner for hvordan de registrerte informeres når informasjon samles inn fra de registrerte eller fra andre om de registrerte, og annen informasjonsplikt overfor de registrerte overholdes.
  • Rutiner for at rettighetene til de registrerte blir fulgt, som retten innsyn, retting og sletting, og hvordan krav om begrensning av behandling, innsigelsesrett og dersom de registrerte motsetter seg automatiserte individuelle avgjørelser, herunder profilering.
  • Rutiner for dataportabilitet, herunder hvordan dette sikres og håndheves ved krav, dersom det er aktuelt for virksomheten.
  • Rutiner for overholdelse av adferdsnomer og sertifisering som gjelder for virksomheten som behandlingsansvarlig eller databehandler.
  • Rutiner for hvordan virksomheten forholder seg til datahandlere, eller forholde seg til behandlingsansvarlige, dersom virksomheten er databehandler for behandlingen, eventuelt hvordan felles behandlingsansvar skal håndteres,
  • Rutiner for anskaffelse av it-systemer og -løsninger for å sikre at disse er dekkende for kravene etter personvernreglene og ikke motvirker oppfyllelse av personvernreglene, herunder hvordan kravene til innebygd personvern skal etterkommes.
  • Rutiner for utpeking, stilling og oppgaver for personvernrådgiver (ombud), dersom virksomheten plikter å ha personvernrådgiver eller har besluttet å ha dette av andre grunner.
  • Rutine for innsyn i arbeidstakers e-postkasse mv. Innsyn i epostkasse og elektroniske filer for ansatte er detaljert regulert, og for å kunne følge disse reglene, bør det foreligge rutiner som pålegges de ansatte.

Husk at det kan være andre rutiner og prosedyrer som kan være aktuelle for enkelte virksomheter som også skal dokumenteres. Oversikten ovenfor er derfor ikkefullstendig.

Protokoller (register) over behandlingsaktiviteter knyttet til all behandling av personopplysninger. Dette er et dokumentasjonskrav kun for virksomheter som har mer enn 250 ansatte (se GDPR artikkel 30 nr. 5), men det er en god rutine å ha et slikt register selv om man ikke har så mange ansatte (og dette er noe av det Datatilsynet ser etter dersom de kommer på tilsyn). Også ved kartleggingen av hva som må gjøres for å få virksomheten i overensstemmelse med GDPR er et behandlingsregister viktig, se om hvordan gjennomføre et GDPR-prosjekt her. For mal for behandlingsoversikt tilsendt, se her.

Bruk av databehandler (dvs. leverandør eller underleverandør som behandler personopplysninger) krever at databehandleravtaler dokumenteres (dvs. skal foreligge skriftlig), se her om kravene til databehandleravtaler. Det kreves også at databehandlers bruk av underleverandør dokumenteres gjennom databehandleravtale, og databehandleren skal ikke bruke underleverandør uten at det er gitt skriftlig tillatelse til dette fra behandlingsansvarlig, som da også må kunne dokumenteres. Men det være at det bør foreligge dokumentasjon av rutiner for å sikre at det kun benyttes databehandler som har gitt tilstrekkelig garantier knyttet til informasjonssikkerhet og at databehandleren og enhver person som handler for den behandlingsansvarlige eller databehandleren, og som har tilgang til personopplysninger, skal behandle nevnte opplysninger bare etter instruks fra den behandlingsansvarlige.

Overføring til utlandet. Dersom det overføres personopplysninger til tredjestater (dvs. land utenfor EU/EØS) som ikke er basert på de normale grunnlagene for overføring skal den behandlingsansvarlige dokumentere vurderinger knyttet til overføringen og de garantier som gis i tilknytning til overføringen (artikkel 49 nr. 6). Det bør også foreligge rutiner for hvilke vurderinger som skal tas ved overføring til tredjestater, hvem som kan beslutte overføring, krav til overføringen, hvilke opplysninger som kan overføres mv.

Samtykker. Bruken av samtykke som behandlingsgrunnlag stiller spesielle krav til dokumentasjon, bl.a. fordi det er et krav om at det skal dokumenteres (eller «påvises» som det heter i forordningen) at det er gitt samtykke til behandlingen. Foreligger det ikke slik dokumentasjon, er behandlingen ulovlig. Det må derfor dokumenteres at det ble gitt samtykke, innholdet i samtykket, når samtykket ble gitt, og samtykket må kunne kobles til (eller tilbakeføres) til den individuelle registrerte.

Interesseavveininger. Tilsvarende som for samtykker, vil interesseavveininger som behandlingsgrunnlag (dette er grunnlaget i GDPR artikkel 6 nr. 1 f) måtte kunne dokumenteres. Det er ikke noe direkte krav til slik dokumentasjon, men benyttes interesseavveining som grunnlag skal dette bl.a. fremlegges for de registrerte (se GDRP artikkel 13 nr. 1 d), så det forutsettes at slik vurdering foreligger.

Dokumentasjon av vurderinger bør sikres, som f.eks. om det er foretatt vurderinger, som at man ikke skal ha personvernombud (personvernrådgiver) eller vurdering om behandling for annet formål enn det som personopplysningene var samlet inn for kan skje (se GDPR artikkel 8 nr. 4). Slike vurderinger er bra å dokumentere, for å vise at man har vært klar over problemstillingen og foretatt en begrunnet beslutning.

Dokumentasjon må være skriftlig, men kan godt foreligge elektronisk (må ikke være på papir). Elektronisk tilgjengeliggjøring av dokumentasjon er ofte også en forutsetning for å gjøre rutinene tilgjengelig i virksomheten.

Et ofte forekommende spørsmål er hvilket språk rutiner skal være tilgjengelig på, og da krever GDPR artikkel 12 at all kommunikasjon om behandlingen skal gis på «en kortfattet, åpen, forståelig og lett tilgjengelig måte og på et klart og enkelt språk». Ut fra dette så bør det være greit at dokumentasjonen forekommer på det språk som er forretningsspråket i virksomheten, herunder engelsk, men det kan være fornuftig å ha med en oppsummering på det lokale språk først for å fremheve forhold som er spesielt viktige.