Protokoll for behandling av personopplysninger? Keep it simple!

Etter personvernforordningen (GDPR) artikkel 30 skal behandlingsansvarlige og databehandlere lage «protokoll over behandlingsaktiviteter». Dette er en oversikt over hvilke personopplysninger man behandler og hvordan det behandles. Mange opplever det som krevende og vanskelig å lage og oppdatere en slik protokoll, og det er ofte en oppgave man helst «skyver på».

Mitt inntrykk er at mange gjør protokollen mer komplisert enn det er behov for. Enkelte virksomheter har så mye behandling at det kreves en mer omfattende protokoll og kartlegging, men de aller fleste kan klare seg med en ganske enkel protokoll. Utfordringen med å legge ambisjonene for høyt for protokoll, er at den enten ikke blir gjort, den gjøres halvferdig, den blir ikke oppdatert og følges ikke opp ved ny eller endret behandling.

I rapporten som Datatilsynet offentliggjorde i går om tilsyn hos kommuner følger det at det er ingen krav til hvordan protokollen lages, bare de opplysningene som kreves etter artikkel 30 er tatt inn. Så om man bruker et dokument, regneark, side på intranett (som Sharepoint) eller annet, så er det bra nok.

Faktisk er bruken av kompliserte løsninger til protokoller problematisk til en viss grad ifølge Datatilsynet, siden det er vanskelig å hente ut protokollene for gjennomgang av Datatilsynet – som er et krav etter GDPR.

Et viktig element ved behandlingsprotokollen er at den skal gi en oversikt over behandlingen. Derfor er det ikke så strenge krav til innholdet i protokollen i GDPR. Tar man inn mye informasjon blir protokollen raskt uoversiktlig og mer krevende å holde oppdatert. Man bør derfor som regel holde seg til det som kreves etter artikkel 30, med noen tilleggsopplysninger for hjelp, som hvem som er ansvarlig for behandlingen.

Så før det anskaffes en egen it-løsning for protokollen bør man spørre seg om dette vil gjøre protokollføringen mer gjennomførbar og gi bedre oversikt. Hvis man ikke kan si klart ja på dette spørsmålet, er det best å gå for det enkle.

Datatilsynet har laget en enkel mal for protokoll (protokoll over behandlingsaktiviteter) som dekker kravene etter artikkel 30 som finnes her.

Jeg har også laget enkle maler for behandlingsprotokoll for henholdsvis behandlingsansvarlig og databehandler, samt en mer omfattende versjon som også inneholder en enkel risikovurdering. Du finner alle disse her.

Her er det også en CSV-fil som kan importeres til Sharepoint. På under ett minutt, kan man altså få en behandlingsprotokoll i Sharepoint som er enkel å dele og delegere for oppfølgning.

Behandlingsprotokoll (CSV-fil for import til Sharepoint)
Kurs i GDPR