Oversiktlig og nyttig behandlingsprotokoll

En behandlingsprotokoll er dokumentasjon av personopplysninger om egne ansatte, kunder, leverandører og andre, som er sentrale verdier for virksomheten. Dette gir et nyttig grunnlag for risikovurderinger og identifisering av tiltak. Her gjennomgås hvordan du kan utarbeide en oversiktlig og nyttig protokoll.

Fredrik Grindland

25 feb 2022

E-signing, electronic signature, document management, paperless office concept. Businessman using stylus pen signing on e document on digital tablet on tablet and virtual notepad on virtual screen

En behandlingsprotokoll er dokumentasjon av personopplysninger om egne ansatte, kunder, leverandører og andre, som er sentrale verdier for virksomheten. I tillegg til å oppfylle virksomhetens plikt, gir det virksomheten et godt grunnlag for å oppfylle grunnleggende personvernprinsipper og andre plikter virksomheten har etter personopplysningsloven. Men er også nyttig grunnlag for risikovurderinger og identifisering av tiltak for å redusere risiko.

Mange virksomheter har hverken utarbeidet behandlingsprotokoll, gjennomført risikovurdering eller iverksatt nødvendige sikkerhetstiltak, samtidig som norske virksomheter, private og offentlige, blir frastjålet personopplysninger i dataangrep og er utsatt for digital utpressing. Flere virksomheter har også blitt tildelt overtredelsesgebyr eller pålegg av Datatilsynet for mangel på behandlingsprotokoll og brudd på personvernet.

Jeg har sett mange behandlingsprotokoller som er veldig detaljerte i beskrivelse av personopplysningene som behandles, noe som gjør den uoversiktlig, unyttig og vanskelig å vedlikeholde. Dette er unødvendig, fordi loven sier at virksomheten kun trenger å beskrive kategorier av personopplysninger man behandler. Loven krever imidlertid at man skal beskrive alle formål virksomheten behandler personopplysninger for, og derfor anbefaler jeg å ta utgangspunkt i formålene med behandlingen når man utarbeider behandlingsprotokoll.

Under gjennomgås hvordan man kan utarbeide en oversiktlig og nyttig behandlingsprotokoll, med utgangspunkt i formålet.

Utarbeidelse av behandlingsprotokoll

For å gjøre gjennomgangen oversiktlige og forståelig, har jeg begrenset det til informasjonen man er forpliktet til å ha med, og med eksempler på beskrivelser relatert til en prosess for Rekruttering av ansatte til en virksomhet.

I tillegg til den pliktige informasjonen som skal beskrives i behandlingsprotokollen, kan det være nyttig å ha med endel tilleggsinformasjon som gjør den mer forståelig for brukerne, slik Datatilsynet har med i sin mal.

Behandlingsansvarlige

Overordnet må man beskrive navnet og kontaktopplysningene til den behandlingsansvarlige i virksomheten. Dersom det er relevant skal man også beskrive navn og kontaktopplysninger for behandlingsansvarliges representant og personvernombudet.

Denne informasjonen er felles for alle formålene, og beskrives bare en gang.

Formål med behandlingen

Formålet skal beskrive hvorfor man behandler personopplysninger, være spesifikt og forklart på en måte som gjør at alle berørte har samme forståelse av hva behandlingen av personopplysninger skal brukes til. 

Eksempel: Vurdere om kandidater er kvalifisert til aktuell stilling.

Kategorier av registrerte

Dette er beskrivelse av kategori registrerte som feks ansatte, eksisterende kunder, potensielle kunder, mfl. 

Eksempel: Kandidater

Kategorier av personopplysninger

Det er opp til virksomheten å definere kategoriene, men man bør dokumentere hvilke personopplysninger som inngår i de ulike kategorier (Se: Mulig måte å kategorisere personopplysninger).

Eksempel: Identifiserende opplysninger, demografiske opplysninger og opplysninger av særskilt privat karakter.

Dette er personopplysninger søkere typisk har med i søknad og CV, og siden bilder er kategorisert som opplysninger av særskilt privat karakter, og mange har bilde på sin CV, er denne kategorien tatt med.

Kategorier av mottakere

Alle mottakere som personopplysningene blir utlevert til, relatert til formålet, skal navngis. Man kan angi kategori av mottakere feks databehandlere, som så kan navngis i egen kolonne for navn på databehandlere.

Eksempel: Microsoft, Talenttech, Rekrutteringsselskapet

I vårt eksempel benyttes Office365, Webcruiter (jobbsøkerportal) og Rekrutteringsselskapet (virksomhet) i rekrutteringsprosessen, og derfor angis leverandørene av disse tjenestene.

Behandlingsgrunnlag

For hvert spesifikke formål, må virksomheten identifisere hvilket av de rettslig grunnlagene (behandlingsgrunnlag) i personopplysningslovens Artikkel 6 som gjelder for behandling av de aktuelle kategorier av personopplysninger.

Eksempel: Artikkel 6 (b) avtale

Artikkel 6 (b) gjelder når det er nødvendig, for å oppfylle en avtale, eller for tiltak personen har etterspurt før avtaleinngåelse. I eksempelet søker personer om å bli vurdert til en stilling som kan resultere i ansettelsesavtale med virksomheten.

Planlagte tidsfrister for sletting

Personopplysningene skal ikke lagres lenger enn det som er nødvendig for formålet, og skal slettes med mindre personopplysningene også behandles for andre formål og behandlingsgrunnlag.

Eksempel: Kandidater som ikke ansettes, slettes når ansettelsesprosessen er ferdig, dersom ikke annet er avtalt med kandidaten.

I eksempelet åpnes det opp for at kandidaten kan gi samtykke til at personopplysningen lagres for å kunne bli brukt til å Vurdere om kandidaten er kvalifisert til aktuell stilling i framtiden. Slikt samtykke fra kandidaten må dokumenteres og lagres. Det kan kun åpnes for å lagre personopplysninger for samme formål, og ikke for bruk til andre formål.  

Generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak

Personopplysninger skal behandles slik at opplysningenes integritet, konfidensialitet og tilgjengelighet beskyttes. Derfor plikter virksomheten å beskrive hvordan de beskytter personopplysninger gjennom virksomhetens informasjonssikkerhetstiltak og internkontroll.  Dette kan være omfattende å beskrive, så her kan det vises til virksomhetens dokumentasjon av egne systemer for informasjonssikkerhet og internkontroll.

Eksempel: Ledelsessystem for informasjonssikkerhet i virksomheten.

Navn og kontaktopplysninger til felles behandlingsansvarlig

Et felles behandlingsansvar oppstår når to eller flere separate behandlingsansvarlige i felleskap beslutter formål med og midlene for behandlingen. Samtidig må hver enkelt behandlingsansvarlig (virksomhet) ha eget behandlingsgrunnlag. Om en av virksomhetene ikke har behandlingsgrunnlag for å behandle personopplysninger for formålet, kan de ikke være felles behandlingsansvarlig, men kan evt. være databehandler.

I eksempelet benyttes et rekrutteringsselskap som har kandidater i egen database, og som vil vurdere kandidater både fra egen database og søkere fra jobbsøkerportalen for å finne kandidater som er kvalifisert til aktuell stilling. Virksomheten vil selv vurdere kvalifiserte kandidater og beslutte hvem de tilbyr stillingen til.

Eksempel: Rekrutteringsselskapet, Per Persen, 999 00 333

Her har rekrutteringsselskapet og virksomheten i felleskap bestemt formålet og midlene for behandlingen og er felles behandlingsansvarlige.

Navn på tredjeland eller internasjonale organisasjoner som personopplysninger overføres til

All overføring av personopplysninger ut av EØS (tredjeland), krever særskilte tiltak og nødvendige garantier. Dersom personopplysningene overføres til tredjeland eller internasjonale organisasjoner må disse navngis. Dette har blitt skjerpet etter Schrems II dommen i EU-domstolen, en prinsipiell dom om overføring av personopplysninger til land utenfor EU/EØS.

Eksempel: USA

Microsoft sier at for enkelte tjenester vil personopplysninger kunne bli overført til USA, og derfor må vi i vårt eksempel føre opp USA.

Nødvendige garantier ved overføring til tredjeland eller internasjonale organisasjoner

Ved overføring av personopplysninger til tredjeland må virksomheten dokumentere hvilke garantier som er avtalt. Siden Schrems II dommen gjorde gjeldende avtaler bla med USA ulovlige, krever Datatilsynet at virksomheten selv vurderer og dokumenterer lovligheten av overføring av personopplysninger til tredjeland.

Eksempel: Gjennomført vurdering ihht Datatilsynets veiledning om Schrems II

Formålsbegrensning gir oversikt og nytte

Jeg håper gjennomgangen og eksemplene viser at behandlingsprotokollen ikke behøver å bli for detaljert og omfattende. Det som avgjør omfanget er som nevnt formålene virksomheten har med behandling av personopplysninger. Om virksomheten følger personvernprinsippet om formålsbegrensning, vil behandlingsprotokollen kunne bli både oversiktlig og nyttig.

Mulig måte å kategorisere personopplysninger

Kravet i artikkel 30 i personopplysningsloven er å beskrive kategoriene av personopplysninger, og her er en mulig måte å gjøre det:

  1. Identifiserende opplysninger (navn, fødselsnummer, e-postadresse, brukernavn, telefonnummer, adresse osv.)
  2. Demografiske opplysninger (kjønn, alder, familiesituasjon, skole, klasse osv.)
  3. Kommunikasjonsopplysninger (MAC-adresse, IP-adresse, cookies, kontaktlister, sosialt nettverk, sosiale medier, SMS, MMS, fotografier, videoer osv.)
  4. Aktiviteter (adferdsmønster, tider innlogget/utlogget, tidspunkt for levering, tidspunkt for arbeid med dokumenter, tidspunkt for chat med venner, interesser, hobbyer, fritidsaktiviteter, lokasjon, historikk i nettleser, likes på sosiale medier osv.)
  5. Særlige kategorier av personopplysninger (helse, seksuell orientering, religion, politisk overbevisning osv.)
  6. Opplysninger av særskilt privat karakter (lokasjon, kommunikasjon (innhold), bilder)
  7. Profilering (analyse eller prediksjon av arbeidsprestasjoner, personlige preferanser, interesser, adferd, lokasjon, bevegelser osv.)
  8. Evt andre kategorier behandlingsansvarlige benytter

 

Noen kilder til ytterligere informasjon

Grunnleggende personvernprinsipper:

https://www.datatilsynet.no/rettigheter-og-plikter/personvernprinsippene/grunnleggende-personvernprinsipper/

Virksomhetens plikter:

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/

Behandlingsprotokoll:

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/protokoll-over-behandlingsaktiviteter/

Behandlingsgrunnlag:

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/behandlingsgrunnlag/veileder-om-behandlingsgrunnlag/

Vurdering ved overføring til tredjeland:

https://www.datatilsynet.no/rettigheter-og-plikter/virksomhetenes-plikter/overforing-av-personopplysninger-ut-av-eos/

Artikkel av

Fredrik Grindland, Rådgiver Bouvet Agder og Certified ISO 27005 Risk Manager

Fredrik Grindland