Etter personvernforordningen (GDPR) artikkel 30 skal det lages en protokoll over hvilken behandling av personopplysninger som skjer i en virksomhet. Selv om kravet om å lage protokoll i utgangspunktet gjelder virksomheter med mer enn 250 ansatte, er det omfattende unntak som gjør at kravet om å føre protokoll omfatte stort sett alle virksomheter (som også er anbefalt bl.a. av Datatilsynet). En annen ting er at det er anbefalt å lage en oversikt over behandlingen gjennom en slik protokoll for å få kontroll på behandlingen. De fleste virksomheter bør derfor lage en slik protokoll.
Datatilsynet har laget en standard protokoll som oppfyller minimumskravene etter personvernforordningen, men min erfaring er at det er en del andre opplysninger som er nødvendig for å vurdere om man behandler personopplysningene innenfor regelverket.
Jeg har derfor laget en mal for behandlingsoversikt som omfatter også disse opplysningene som kan lastes ned nedenfor.
Etter personvernforordningen bør det også gjøres en risikovurdering av behandlingen. I mange tilfelle kan dette gjøres enkelt, og knyttet til behandlingsaktivitetene som tas inn i behandlingsoversikten. Det er derfor tatt inn en enkel matrise for å foreta risikovurdering i behandlingsoversikten.
Klikk her for å laste ned: Behandlingsoversikt