Protokoll over behandlingsaktiviteter i forbindelse med GDPR
General Data Protection Regulation (GDPR) krever at virksomheter som behandler personopplysninger oppretter og vedlikeholder en protokoll over behandlingsaktiviteter. Denne protokollen er et sentralt verktøy for å dokumentere virksomhetens behandling av personopplysninger og sikre at den overholder personvernregelverket. I denne artikkelen vil vi utforske hva en protokoll over behandlingsaktiviteter innebærer i forbindelse med GDPR og hvordan din virksomhet kan opprette og vedlikeholde en slik protokoll.
Hva er en protokoll over behandlingsaktiviteter?
En protokoll over behandlingsaktiviteter er en oversikt over alle behandlingsaktiviteter av personopplysninger som foretas innenfor en virksomhet. Protokollen skal inneholde informasjon om formålet med behandlingen, kategorier av personopplysninger og mottakere, eventuelle overføringer til tredjeland, samt tidsfrister for sletting av data. Protokollen er et nyttig verktøy for å sikre overholdelse av GDPR og for å demonstrere ansvarlighet overfor tilsynsmyndigheter og berørte personer.
Hvordan opprette en protokoll over behandlingsaktiviteter?
For å opprette en protokoll over behandlingsaktiviteter, bør virksomheten følge disse trinnene:
Gjennomgå alle prosesser, systemer og tjenester som involverer behandling av personopplysninger for å identifisere alle relevante behandlingsaktiviteter.
For hver behandlingsaktivitet, noter formålet med behandlingen, kategoriene av personopplysninger som behandles, kategoriene av registrerte (personer hvis opplysninger behandles), eventuelle mottakere av personopplysningene, og eventuelle overføringer av personopplysninger til tredjeland eller internasjonale organisasjoner.
3.
For hver behandlingsaktivitet, angi tidsfrister for sletting av personopplysninger, eller kriteriene som brukes for å fastsette slike tidsfrister.
Source: https://www.debet.no/gdpr/protokoll-behandlingsaktiviteter
4. Oppbevare protokollen:
Lagre protokollen i et format som er lett tilgjengelig og enkelt å oppdatere, for eksempel i et elektronisk dokument eller et databasert system.
5. Oppdater protokollen regelmessig:
Gjennomgå og oppdater protokollen regelmessig for å sikre at den forblir nøyaktig og fullstendig. Dette kan omfatte å legge til nye behandlingsaktiviteter, oppdatere eksisterende aktiviteter eller slette aktiviteter som ikke lenger er relevante.
6. Utpeke en personvernombud (DPO):
Hvis virksomheten er pålagt å utpeke en personvernombud, bør denne personen være ansvarlig for å overvåke protokollen over behandlingsaktiviteter og bistå med rådgivning og veiledning om etterlevelse av GDPR.
7. Tilgjengelighet for tilsynsmyndigheter:
Protokollen over behandlingsaktiviteter skal være tilgjengelig for tilsynsmyndighetene på forespørsel. Dette vil hjelpe virksomheten med å demonstrere ansvarlighet og overholdelse av GDPR.
Source: https://www.debet.no/gdpr/protokoll-behandlingsaktiviteter