GDPR: Hva er en behandlingsprotokoll (artikkel 30)?

GDPR behandlingsprotokoll behandlingsaktiviteter

Hvis du vil komme raskt i gang med å forstå de overordnede prinsippene for GDPR, bør du starte med å lese gjennom denne GDPR-guiden, laget spesielt for små bedrifter. Og når du er klar kan du investere i nettkurset som inkluderer både malverk (Excel) og steg-for-steg videoinstrukser for utfylling. Se "Behandlingsprotokoll" i nettbutikken.


Det er enormt med informasjon, blogginnlegg, artikler, podcaster, videoer og henvisninger til hva du bør gjøre med GDPR (ny personvernforordning) -  hvordan og når - og i hvilket omfang. Ofte er ikke informasjonen nyansert, og fremstilt på én måte uansett om du er 1, 10 eller 250 000 ansatte.

Og ofte gis feil råd. Sørg for at kunnskapen du tilegner deg om GDPR, kun kommer fra troverdige kilder.

Artiklene om GDPR som er skrevet på dette nettstedet er tilpasset til deg som driver en liten bedrift med én eller få ansatte. Målet er at du skal kunne senke skuldrene, få konkret hjelp til å komme i gang, og vite hva du bør prioritere å gjøre fremover.

PS: Datatilsynet har en mal for protokoll på sine sider - den synes jeg er litt vanskelig å jobbe med. Investerer du i GDPR Startpakka får du med malen jeg har laget spesielt for små bedrifter.

GDPR behandlingsprotokoll for små bedrifter

Det viktigste du bør prioritere først er å lage en oversikt over alle personopplysningene du behandler i hele bedriften din.

Alle bedrifter behandler personopplysninger og må ta høyde for hvordan de håndterer personvern. Det kan være for vanlig e-post, regnskapssystem, skylagring, nettbutikk, CRM, webhotell, nyhetsbrev, journaler, smarttelefon, bookingsystem, arkivpermer - alle systemer og plasser du har personopplysninger.

Hva er en behandlingsprotokoll?

Etter de nye personvernreglene (jfr. GDPR artikkel 30) har du plikt til å lage oversikt over personopplysningene du behandler i bedriften din.

Denne oversikten, "protokoller over behandlingsaktiviteter", er utgangspunktet for mange av de andre GDPR-pliktene dine, altså det du må gjøre for å bli "GDPR-klar" (for eksempel oppdatere eller skrive en personvernerklæring).

En personvernerklæring skal opplyse om hvordan du behandler personopplysninger i bedriften din, og er ikke noe nytt. Denne informasjonsplikten var allerede et krav i den gamle personopplysningsloven fra år 2000. 

Hvor krevende og hvor lang tid det tar å få på plass en slik oversikt, avhenger av størrelsen på bedriften din, og hvor (lite) komplisert den er. Jo større den er, jo flere ansatte, jo flere produkter og tjenester, jo lenger tid bedriften har eksistert osv, dess mer komplisert blir protokollen.

Prosessen med å lage den er imidlertid ganske lik; start med idémyldring og skriv alt inn i en protokoll etterpå. Dersom det er flere i bedriften din bør dere gjøre det første steget sammen. Nedenfor går vi gjennom disse to stegene i mer detalj.

Steg 1a: Begynn med idémyldring

Aller først anbefaler jeg at du setter deg ned og skriver ned alt du kan komme på, for hvor du behandler personopplysninger.

Bruk Word, Google dokumenter, OneNote, Mindmaps hvis du liker det, eller rett og slett penn og papir! Bruk det formatet som passer for deg, poenget er at du enkelt skal kunne rable ned alle systemer og programmer du bruker som du lagrer personopplysninger i.

Det kan være for eksempel systemer du bruker for:

  • å sende ut nyhetsbrev (MailChimp, Kajabi, AWeber, ConvertKit, Mailerlite…)
  • å føre et register over kundene dine (CRM-systemer som Zoho, Superoffice, Hubspot)
  • å legge inn regnskapsbilag (Tripletex, Fiken)
  • betaling på nettsiden din (PayPal, Stripe)
  • plugins (utvidelser) på nettsteder laget i WordPress (Easy Digital Downloads, Akismet, Wordfence)

Det kan også være:

  • Excel-ark med liste over navn på kunder...
  • … som du har lagret i skyen (Google Drive, OneDrive eller Dropbox)
  • Papirdokumenter som inneholder personopplysninger (ansettelseskontrakter, leverandørkontrakter, notater fra medarbeidersamtaler)

Sett av i alle fall en time til denne første idemyldringen.

Telefonen kan gjerne stå i flymodus! 😉 De fleste har også behov for å gå flere runder med denne, fordi det er vanskelig å huske på alt med en gang. Legg til opplysninger etter hvert som du husker på det (som man typisk gjør når man har kommet i gang og sitter på jobb).

Steg 1b: Lag oversikten over personopplysninger (behandlingsprotokoll)

Nå skal du ha et godt grunnlag til å gå i gang med å lage en samlet oversikt over personopplysninger du behandler i bedriften din. Dette kaller vi for en protokoll. Loven (GDPR) stiller ingen krav til hvordan denne skal se ut eller hvilket format. Du kan lage den i Word, Excel, OneNote eller hva som fungerer for deg.

Hvis du driver en liten og relativt ukomplisert bedrift har du trolig ikke behov for å investere i egne systemer, verktøy eller abonnementer for å håndtere GDPR.

Jeg anbefaler imidlertid Excel, fordi det er et så enkelt format å håndtere. Du kan enkelt sortere og filtrere data, og det kan bli veldig nyttig dersom Datatilsynet skulle komme på besøk. De har laget en mal, kopiert fra ICO (det britiske datatilsynet) sin mal.

Jeg synes imidlertid den er knotete og ulogisk satt opp, så jeg har skreddersydd min egen mal for oss som driver små bedrifter. Den er inkludert i GDPR startpakken.

Protokollen hjelper deg med de øvrige GDPR-kravene

Det arbeidet du er i gang med nå, danner grunnlaget for det aller meste relatert til GDPR i bedriften din. Bruk god tid og vær nøye! Det kommer til å spare deg for mye jobb senere.

Sett deg ned med den første oversikten du laget, og begynn med å føre inn én og én opplysning. Fyll ut alle de relevante kolonnene, og skriv heller inn mer informasjon enn nødvendig, enn motsatt. Det kan lønne seg senere.

Trolig vil du måtte gå flere runder for å få alt på plass, spesielt når det gjelder databehandlere.

Du må kvalitetssikre hver databehandler, sjekke hvor personopplysninger lagres (og om du trenger nødvendige garantier), innhente databehandleravtaler og oppdatere protokollen med all informasjonen.

Ja, det er mye å forholde seg til, og derfor har jeg også laget en GDPR sjekkliste spesielt for en liten bedrift. Sjekklisten finner du under punkt 8 i den store GDPR-guiden.

Derfor er protokollen så viktig

Som jeg nevnte over er protokollen selve kjernen i GDPR-arbeidet ditt. Fra denne kan du hente det meste du trenger til to viktige situasjoner:

  1. En registrert (person du behandler personopplysninger til) ber om innsyn, endring eller sletting i sine personopplysninger
  2. Datatilsynet kontakter deg for tilsynskontroll

Og da er det vesentlig at du har gode GDPR-rutiner på plass.

Da håper jeg at du har fått et godt grunnlag til å komme i gang med å lage oversikten over personopplysninger i bedriften din. Lykke til med GDPR-arbeidet ditt!

Hvis du trenger hjelp med utfylling av behandlingsprotokollen kan du sjekke ut nettkurset som inkluderer både malverk (Excel) og steg-for-steg videoinstrukser for utfylling. Se "Behandlingsprotokoll" i nettbutikken.