Med en blanding av iver etter å gjøre det riktig og frykt for å gjøre noe galt, utarbeider mange virksomheter langt flere protokoller over behandlingsaktiviteter enn de trenger. Her beskriver vår ekspert hvordan man kan gruppere behandlingsaktivitetene og dermed spare mye (bortkastet) arbeid.
Som kjent krever GDPR at virksomheter skal ha en protokoll over sine behandlingsaktiviteter. En protokoll over behandlingsaktiviteter kan beskrives som en liste over virksomhetens logisk sammenhengende prosesser. Og hva er så det?
La oss ta et par eksempler:
Persondata som inngår i ansettelseskontrakter, lønnsutbetalinger, sykdomsregistreringer, pensjonsordninger, utviklingssamtaler o.l. er alle alle persondata som inngår i én, logisk sammenhengende prosess, som kan beskrives som 'Personaladministrasjon'. GDPR krever ikke at man skal ha en protokoll over alle underliggende prosesser i sin administrering av ansatte. Altså en kartlegging av hvilke systemer og plattformer som anvendes til å håndtere persondata om ansatte. Personvernforordningen vil – i denne sammenhengen – kun få virksomheter til å beskrive det overordnede formålet med håndteringen av persondata.
Etter samme logikk er kundekontakt på en nettside, over telefon og i personlige møter ikke vesentlig forskjellige prosesser som krever opprettelse av særskilte protokoller. All kundekontakt som innvolverer persondata, er én logisk sammenhengende prosess, som kan betegnes som 'Kundekontakt'. Slik kan man fortsette å gruppere behandlingsaktiviteter, som for eksempel 'Formidling av lån' og 'Markedsføringsaktiviteter'.
Hva gjør dere?
Jakob Holm Hansen er CEO hos os. Han medgir at det kan være krevende å foreta en gruppering av logisk sammenhengende prosesser. Men han oppfordrer likevel til at man tar fatt på oppgaven.
«Prøv å slå opp din egen bedrift i Brønnøysundregistrene. Hva står det der at dere driver med? Har dere en matbutikk, selger dere gummistøvler eller hva er kjernevirksomheten? Deres formål med å drive forretning må relateres til behovet for å behandle data om den registrerte. Altså; er det fornuftig at dere håndterer nettopp disse personopplysningene om disse menneskene i disse prosessene? Det er hele den tankerekken som skal med i en protokoll for behandlingsaktivitet», sier Jakob. «Og husk at protokollen skal gi mening for den registrerte, ikke bare for dere som virksomhet. Det er det som er hele bakgrunnen for GDPR.»
“Og husk at protokollen skal gi mening for den registrerte,
ikke bare for dere som virksomhet. Det er det
som er hele bakgrunnen for GDPR.”
Behandlingsaktiviteter er ikke dataflytanalyser
Jakob forklarer at noe av forvirringen stammer fra en sammenblanding av begrepene 'protokoll over behandlingsaktiviteter' og 'dataflytanalyser'.
En dataflytanalyse er et totalbilde av hele IT-landskapet – eksempelvis nettverk, infrastruktur, lagring, databaser, osv. – og hvordan data strømmer mellom applikasjonene. En behandlingsaktivitet er bare en oppføring som skal gi oversikt over hvordan man behandler sine persondata og i hvilke overordnede prosesser.
«Noen virksomheter forveksler de to og begynner å lage oversikt over deres dataflyter. For det første er det ikke et krav iht. GDPR, men det er også en ganske omfattende oppgave å utarbeide et totalbilde over hele IT-landskapet, fordi det hele tiden er i endring.»
Rettslig grunnlag er en god pekepinn
Det kan være et definisjonsspørsmål å avgjøre om noen prosesser henger mer naturlig sammen enn andre. La oss ta et eksempel med en virksomhet som selger elektronikk og har kundekontakt med både privatpersoner og offentlige selskaper. Er den samlede kundekontakten én eller to logisk sammenhengende prosesser?
«Salg til private og salg til bedrifter er underlagt ulik lovgivning. Derfor er håndteringen av personopplysningene også to forskjellige prosesser, og to ulike protokoller over behandlingsaktiviteter må utarbeides. Det samme er tilfelle dersom firmaet behandlet både kundedata for analyseformål og kundedata til salgsformål. Det er to ulike prosesser med forskjellige formål. Den ene har et forskningsmessig preg. Den andre handler utelukkende om salg», sier Jakob.
«Jeg vet at det kan være vanskelig å skille på de ulike prosessene, men prøv å se på den lovhjemmelen som regulerer det området personopplysningene ligger under. Dersom behandlingen av personopplysninger i eksempelvis alt av selskapets kundekontakt er underlagt samme lovgivning, skal det sannsynligvis bare lages én protokoll. Men hvis de prosesser som databehandlingen inngår i er underlagt ulik lovgivning, skal det i utgangspunktet utarbeides en protokoll for hver av de behandlingsaktivitetene som er logisk sammenhengende.»
Databeskyttelse er en klassisk IT-disiplin
Når man har kartlagt formålet og utarbeidet protokoller over sine behandlingsaktiviteter, krever GDPR også at man redegjør for hvordan man beskytter den registrertes data under hver behandlingsaktivitet.
«Det er en klassisk IT-disiplin. Det handler om å beskrive hvordan man eksempelvis foretar adgangskontroll, krypterer data, logger filer, osv. Det er det mange IT-avdelinger som har god kontroll på allerede. Det skal kanskje dokumenteres på en annen måte enn de er vant til, men selve oppgaven kjenner de til.», avslutter Jakob Holm Hansen.
Prøv styringssystem for informasjonssikkerhet gratis i 30 dager!
Vår compliance verktøy gir systemstøtte til arbeidet med årshjul og den kontinuerlige overholdelsen av GDPR, sikkerhetsstandarder og selskapets egne retningslinjer.