Logo og hjelpeverktøy

Hovedmeny

Protokoll over behandlingsaktiviteter

Alle virksomheter som behandler personopplysninger, skal føre en protokoll over behandlingsaktivitetene de har ansvar for.

Protokoll over behandlingsaktiviteter
Protokoll over behandlingsaktiviteter

En databehandler skal tilsvarende føre en protokoll over alle kategorier av behandlingsaktiviteter som er utført på vegne av den behandlingsansvarlige.

Den behandlingsansvarliges protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til den behandlingsansvarlige, og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet.
  2. Formålene med behandlingen.
  3. En beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
  4. Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner.
  5. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  6. Dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
  7. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Databehandlerens protokoll skal inneholde følgende informasjon:

  1. Navnet på og kontaktopplysningene til databehandleren eller databehandlerne og til hver behandlingsansvarlig som databehandleren opptrer på vegne av, samt, dersom det er relevant, den behandlingsansvarliges eller databehandlerens representant og personvernombudet.
  2. Kategoriene av behandling utført på vegne av hver behandlingsansvarlig.
  3. Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
  4. Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.

Husk at den behandlingsansvarlige må inngå en databehandleravtale med hver databehandler. 

Unntak fra plikten til å føre protokoll?

Foretak og organisasjoner med færre enn 250 ansatte har unntak fra kravet om å føre protokoll for visse behandlingsaktiviteter. Unntaket er imidlertid snevert og det vil derfor svært sjeldent gjelde som et absolutt unntak fra hele bestemmelsen. Det vil i større grad fungere som et unntak fra en del av artikkel 30, for å lette protokollføringsbyrden til virksomheter med færre enn 250 ansatte.

I praksis og nesten uten unntak, skal derfor alle virksomheter føre protokoller over sine behandlingsaktiviteter. Dessuten vil alle virksomheter i alle tilfeller ha nytte av å kartlegge sine behandlinger av personopplysninger, som del av sin internkontrollplikt og dokumentasjon av denne.

Hvordan utarbeide protokollen?

Det er ikke noen formkrav til hvordan protokollen skal føres, eller hva slags verktøy som skal benyttes. Dere bestemmer med andre ord selv hvorvidt dere fører oversikten som et tekstbehandlingsdokument, på regneark, eller via andre verktøy. Pass imidlertid på at de kravene til innhold som er obligatoriske blir med i en samlet skriftlig og elektronisk tilgjengelig oversikt.

Datatilsynet har utarbeidet to enkle maler i excel, for henholdsvis behandlingsansvarlig og databehandler. Benytt gjerne disse til å skape den nødvendige oversikten.

I malen for behandlingsansvarlig har vi tatt med flere kolonner enn det som er obligatorisk. Dette har vi gjort fordi en mer utfyllende oversikt vil være et godt hjelpemiddel i arbeidet med å sikre etterlevelse av virksomhetens plikter og de registrertes rettigheter. Dere vil da lettere kunne besvare forespørsler fra enkeltpersoner som vil vite hva dere har registrert om dem, hvor dere har fått opplysningene fra, og med hvilket rettslig grunnlag dere behandler opplysningene. Oversikten er også nyttig når dere skal oppfylle den aktive informasjonsplikten, for eksempel ved utarbeidelse av en personvernerklæring.

Last ned

Mal for for behandlingsansvarliges protokoll (XLSX)

Mal for databehandlers protokoll (XLSX)

Se også veiledning og eksempler fra det danske datatilsynet og fra vår britiske søsterorganisasjon ICO om dokumentasjonsplikten og protokoll.

Virksomhetenes plikter