En behandlingsprotokoll er kort forklart et dokument med full oversikt over hvordan du behandler personopplysninger i akkurat din bedrift.
Det er ikke noen regler på hvordan denne skal være laget, så du kan f eks lage den i et worddokument eller i Excel. I mitt arbeid bruker jeg konsekvent den protokollen som er utarbeidet av det norske Datatilsynet. Du kan laste den ned HER (du skal ha den som heter «mal for behandlingsansvarliges protokoll».
Men det er regler på hva den skal inneholde:
Hva protokollen skal inneholde
• Navnet på og kontaktopplysningene til den behandlingsansvarlige (altså deg), og, dersom det er relevant, den felles behandlingsansvarlige, den behandlingsansvarliges representant og personvernombudet.
Viktig: Personvernombud er ikke lovpålagt før omsetningen i bedriften er over 20 millioner NOK eller du har 20 ansatte, eller når du hovedsakelig behandler særlig sensitive opplysninger, men du kan velge å ha en som er spesielt ansvarlig for personvernet likevel.
• Formålene med behandlingen, altså hva du skal bruke opplysningene til.
F eks: direkte epostmarkedsføring, kundekontakt, måling av interesse og engasjement, kjøpshistorikk, antispam, antihacking, levere kursinnhold osv.
• En beskrivelse av kategoriene av registrerte og kategoriene av personopplysninger
Kategorier av registrerte:
f eks nye abonnenter, nye kunder, eksisterende abonnenter, eksisterende kunder, besøkende på nettside etc
Kategorier av personopplysninger:
f eks navn, epostadresse, IPadresse, lokasjon, brukernavn, betalingsinformasjon, fremgang i kurs, innhold i epost korrespondanse, adferd på nettsted osv
• Kategoriene av mottakere som personopplysningene er blitt eller vil bli utlevert til, herunder mottakere i tredjestater eller internasjonale organisasjoner.
Her menes sånt som hvor du har jobb-epostadresse (Gmail for bedrift, Domeneshop, one.com etc) hvor du lager landingssider og nyhetsbrev (Mailchimp, Mailerlite, Convertkit, Kajabi etc) kursplatformer (Kajabi, Thinkific, Teachable etc), utvidelser på nettsted (kontaktskjema, antihacking, antispam, Google Analytics), betalingsløsninger (Stripe, PayPal, Klarna, Conta), regnskapsprogram, nettmøtesystem etc.
• Dersom det er relevant, overføringer av personopplysninger til en tredjestat eller en internasjonal organisasjon, herunder identifikasjon av nevnte tredjestat eller internasjonale organisasjon og, ved overføringer nevnt i artikkel 49 nr. 1 annet ledd, dokumentasjon på nødvendige garantier.
Dette var det store kaoset etter Schrems II dommen i 2020, og fokuset var på store amerikanske brands som f eks Kajabi, Mailchimp og Stripe som dommen da gjorde ulovlige å bruke uten «tilstrekkelige garantier».
I dag har heldigvis disse f eks både SCC (Standard Contractual Clauses) og DPA’er (Data Processing Agreements), i noen tilfeller Binding Corporate Rules som skal garantere personvernet til kunder/abonnenter i EU/EØS og sammen virker som dokumentasjon på nødvendige garantier.
• Dersom det er mulig, de planlagte tidsfristene for sletting av de forskjellige kategoriene av opplysninger.
Det er absolutt en fordel å ha en prosedyre på dette. Du er velkommen til å bruke innholdet i min personvernerklæring som eksempler hva dette angår, med den absolutte betingelsen at du tilpasser innholdet etter hvilke programmer, leverandører og nettsted-utvidelser du bruker i din bedrift.
• Dersom det er mulig, en generell beskrivelse av de tekniske og organisatoriske sikkerhetstiltakene nevnt i artikkel 32 nr. 1.
Dette er det også en stor fordel å ha oversikt over. F eks: Tilgangskontroll, kryptering, SCC, DPA, taushetsplikt, behandling innenfor EU/EØS etc.
Så det er altså hva en behandlingsprotokoll er.
Men hva trenger du den til?
Hva du trenger protokollen til
• For å skrive personvernerklæring
For alle bedrifter er innholdet i denne protokollen selve grunnmuren for personvernerklæringen.
Om du ikke har oversikt over disse tingene, blir det veldig vanskelig – om ikke så godt som umulig – å skrive en personvernerklæring spesielt tilpasset din bedrift.
• Eventuelle tilsyn av Datatilsynet
Alle foretak og bedrifter er lovpålagt å ha denne protokollen, og det er absolutt nødvendig å kunne fremvise denne om det skulle forekomme tilsyn fra datatilsynet.
• Ved forespørsel fra kunder/abonnenter
Noen ganger kan det komme en forespørsel fra en kunde/abonnent om eksakt oversikt over din bedrifts behandlingsaktiviteter, og da er det virkelig godt å ha komplett oversikt i ett enkelt dokument.
• Trygghet og frihet
Og sist, men ikke minst, vil det gi deg som bedriftseier en enorm følelse av kontroll og oversikt på personvernet ditt, for ikke å snakke om en frihetsfølelse rundt promotering og salg av produkter og tjenester som kun bevisst lovlydighet rundt personvern kan gi.
PS: Om du ikke har kommet så langt at personvernerklæring er på plass enda, så vil jeg invitere deg til å bli med i GDPR & Vilkår Portalen. Der går du trinnvis frem for å forsikre deg om at alt av GDPR og vilkår er som det skal i bedriften din. Og du har så klart tilgang på meg for å stille spørsmål og få konkrete svar i den tilhørende gruppa kalt «GDPR & Vilkår Laboratoriet» inne i portalen. 199€ for 3 måneders tilgang på alt. Velkommen skal du være 🙂