En behandlingsprotokoll er dokumentasjon av personopplysninger om egne ansatte, kunder, leverandører og andre, som er sentrale verdier for virksomheten. Dette gir et nyttig grunnlag for risikovurderinger og identifisering av tiltak. Her gjennomgås hvordan du kan utarbeide en oversiktlig og nyttig protokoll.
En behandlingsprotokoll er dokumentasjon av personopplysninger om egne ansatte, kunder, leverandører og andre, som er sentrale verdier for virksomheten. I tillegg til å oppfylle virksomhetens plikt, gir det virksomheten et godt grunnlag for å oppfylle grunnleggende personvernprinsipper og andre plikter virksomheten har etter personopplysningsloven. Men er også nyttig grunnlag for risikovurderinger og identifisering av tiltak for å redusere risiko.
Mange virksomheter har hverken utarbeidet behandlingsprotokoll, gjennomført risikovurdering eller iverksatt nødvendige sikkerhetstiltak, samtidig som norske virksomheter, private og offentlige, blir frastjålet personopplysninger i dataangrep og er utsatt for digital utpressing. Flere virksomheter har også blitt tildelt overtredelsesgebyr eller pålegg av Datatilsynet for mangel på behandlingsprotokoll og brudd på personvernet.
Jeg har sett mange behandlingsprotokoller som er veldig detaljerte i beskrivelse av personopplysningene som behandles, noe som gjør den uoversiktlig, unyttig og vanskelig å vedlikeholde. Dette er unødvendig, fordi loven sier at virksomheten kun trenger å beskrive kategorier av personopplysninger man behandler. Loven krever imidlertid at man skal beskrive alle formål virksomheten behandler personopplysninger for, og derfor anbefaler jeg å ta utgangspunkt i formålene med behandlingen når man utarbeider behandlingsprotokoll.
Under gjennomgås hvordan man kan utarbeide en oversiktlig og nyttig behandlingsprotokoll, med utgangspunkt i formålet.
For å gjøre gjennomgangen oversiktlige og forståelig, har jeg begrenset det til informasjonen man er forpliktet til å ha med, og med eksempler på beskrivelser relatert til en prosess for Rekruttering av ansatte til en virksomhet.
I tillegg til den pliktige informasjonen som skal beskrives i behandlingsprotokollen, kan det være nyttig å ha med endel tilleggsinformasjon som gjør den mer forståelig for brukerne, slik Datatilsynet har med i sin mal.
Overordnet må man beskrive navnet og kontaktopplysningene til den behandlingsansvarlige i virksomheten. Dersom det er relevant skal man også beskrive navn og kontaktopplysninger for behandlingsansvarliges representant og personvernombudet.
Denne informasjonen er felles for alle formålene, og beskrives bare en gang.
Formålet skal beskrive hvorfor man behandler personopplysninger, være spesifikt og forklart på en måte som gjør at alle berørte har samme forståelse av hva behandlingen av personopplysninger skal brukes til.
Eksempel: Vurdere om kandidater er kvalifisert til aktuell stilling.
Dette er beskrivelse av kategori registrerte som feks ansatte, eksisterende kunder, potensielle kunder, mfl.
Eksempel: Kandidater
Det er opp til virksomheten å definere kategoriene, men man bør dokumentere hvilke personopplysninger som inngår i de ulike kategorier (Se: Mulig måte å kategorisere personopplysninger).
Eksempel: Identifiserende opplysninger, demografiske opplysninger og opplysninger av særskilt privat karakter.
Dette er personopplysninger søkere typisk har med i søknad og CV, og siden bilder er kategorisert som opplysninger av særskilt privat karakter, og mange har bilde på sin CV, er denne kategorien tatt med.
Alle mottakere som personopplysningene blir utlevert til, relatert til formålet, skal navngis. Man kan angi kategori av mottakere feks databehandlere, som så kan navngis i egen kolonne for navn på databehandlere.
Eksempel: Microsoft, Talenttech, Rekrutteringsselskapet
I vårt eksempel benyttes Office365, Webcruiter (jobbsøkerportal) og Rekrutteringsselskapet (virksomhet) i rekrutteringsprosessen, og derfor angis leverandørene av disse tjenestene.
For hvert spesifikke formål, må virksomheten identifisere hvilket av de rettslig grunnlagene (behandlingsgrunnlag) i personopplysningslovens Artikkel 6 som gjelder for behandling av de aktuelle kategorier av personopplysninger.
Eksempel: Artikkel 6 (b) avtale
Artikkel 6 (b) gjelder når det er nødvendig, for å oppfylle en avtale, eller for tiltak personen har etterspurt før avtaleinngåelse. I eksempelet søker personer om å bli vurdert til en stilling som kan resultere i ansettelsesavtale med virksomheten.
Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, og skal slettes med mindre personopplysningene også behandles for andre formål og behandlingsgrunnlag.
Eksempel: Kandidater som ikke ansettes, slettes når ansettelsesprosessen er ferdig, dersom ikke annet er avtalt med kandidaten.
I eksempelet åpnes det opp for at kandidaten kan gi samtykke til at personopplysningen lagres for å kunne bli brukt til å Vurdere om kandidaten er kvalifisert til aktuell stilling i framtiden. Slikt samtykke fra kandidaten må dokumenteres og lagres. Det kan kun åpnes for å lagre personopplysninger for samme formål, og ikke for bruk til andre formål.
Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Derfor plikter virksomheten å beskrive hvordan de beskytter personopplysninger gjennom virksomhetens informasjonssikkerhetstiltak og internkontroll. Dette kan være omfattende å beskrive, så her kan det vises til virksomhetens dokumentasjon av egne systemer for informasjonssikkerhet og internkontroll.
Eksempel: Ledelsessystem for informasjonssikkerhet i virksomheten.
Et felles behandlingsansvar oppstår når to eller flere separate behandlingsansvarlige i felleskap beslutter formål med og midlene for behandlingen. Samtidig må hver enkelt behandlingsansvarlig (virksomhet) ha eget behandlingsgrunnlag. Om en av virksomhetene ikke har behandlingsgrunnlag for å behandle personopplysninger for formålet, kan de ikke være felles behandlingsansvarlig, men kan evt. være databehandler.
I eksempelet benyttes et rekrutteringsselskap som har kandidater i egen database, og som vil vurdere kandidater både fra egen database og søkere fra jobbsøkerportalen for å finne kandidater som er kvalifisert til aktuell stilling. Virksomheten vil selv vurdere kvalifiserte kandidater og beslutte hvem de tilbyr stillingen til.
Eksempel: Rekrutteringsselskapet, Per Persen, 999 00 333
Her har rekrutteringsselskapet og virksomheten i felleskap bestemt formålet og midlene for behandlingen og er felles behandlingsansvarlige.
All overføring av personopplysninger ut av EØS (tredjeland), krever særskilte tiltak og nødvendige garantier. Dersom personopplysningene overføres til tredjeland eller internasjonale organisasjoner må disse navngis. Dette har blitt skjerpet etter Schrems II dommen i EU-domstolen, en prinsipiell dom om overføring av personopplysninger til land utenfor EU/EØS.
Eksempel: USA
Microsoft sier at for enkelte tjenester vil personopplysninger kunne bli overført til USA, og derfor må vi i vårt eksempel føre opp USA.
Ved overføring av personopplysninger til tredjeland må virksomheten dokumentere hvilke garantier som er avtalt. Siden Schrems II dommen gjorde gjeldende avtaler bla med USA ulovlige, krever Datatilsynet at virksomheten selv vurderer og dokumenterer lovligheten av overføring av personopplysninger til tredjeland.
Eksempel: Gjennomført vurdering ihht Datatilsynets veiledning om Schrems II
Jeg håper gjennomgangen og eksemplene viser at behandlingsprotokollen ikke behøver å bli for detaljert og omfattende. Det som avgjør omfanget er som nevnt formålene virksomheten har med behandling av personopplysninger. Om virksomheten følger personvernprinsippet om formålsbegrensning, vil behandlingsprotokollen kunne bli både oversiktlig og nyttig.
Kravet i artikkel 30 i personopplysningsloven er å beskrive kategoriene av personopplysninger, og her er en mulig måte å gjøre det:
https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/
Fredrik Grindland, Rådgiver Bouvet Agder og Certified ISO 27005 Risk Manager