Behandlingsprotokol - oversigt over behandlinger

Alle virksomheder, der behandler personoplysninger, er forpligtet til at føre en protokol over alle behandlinger. Dette er beskrevet i artikel 30 i persondataforordningen (GDPR).

Hvad er en behandling?

Alle former for opbevaring og brug af personoplysninger er en behandling. Og hvis du bruger en personoplysning til forskellige formål, udgør det forskellige behandlinger. Formål og behandlingsgrundlag er meget centralt i GDPR. Her er et lille eksempel med forskellige behandlinger af de samme data:

Virksomhedens behandlingsgrundlag ved behandling af personoplysninger

Virksomheden modtager og gemmer data om kunden ved køb. Et køb er en aftale mellem virksomheden og kunden, så behandlingsgrundlaget for at gemme disse data er, at det er "nødvendigt for at opfylde en aftale, som den registrerede er part i".
Virksomheden ønsker også at bruge oplysninger om, hvor kunden bor, til at markedsføre forskellige produkter, som kun er tilgængelige for kunder i visse dele af landet. Behandlingsgrundlaget kan her være samtykke eller virksomhedens berettigede interesse.
Virksomheden ønsker at lave analyser af deres salg og bruger blandt andet kundens adresse til at se, hvor meget de sælger i forskellige områder i landet. Behandlingsgrundlaget for dette er virksomhedens berettigede interesse.
Virksomheden ønsker at lave en hjemmeside, der tilpasser sig kunden, og bruger blandt andet kundens adresse til at tilpasse indholdet på hjemmesiden. Behandlingsgrundlaget for dette er virksomhedens berettigede interesse.

I eksemplet ovenfor udfører virksomheden forskellige behandlinger til forskellige formål. Hvert formål er en egen behandling, og dette skal derfor dokumenteres i behandlingsprotokollen. I dette tilfælde involverer alle behandlingerne kundens adresse. Det er derfor ikke nok kun at dokumentere behandlingen, der gemmer dataene, men alle behandlinger, der bruger dataene, skal dokumenteres.

Hvordan gøres dette i praksis?

Det nemmeste, hvis du ikke har særligt mange behandlinger, er at bruge Datatilsynets skabelon til behandlingsoversigt. Et tip er at lægge behandlingsoversigten online, i Office 365, Google Docs eller lignende, og lade alle medarbejdere have læsetilgang. Kun medarbejdere, der skal ændre behandlingsoversigten, bør have skrivetilgang. At give alle medarbejdere læsetilgang er godt for bevidstheden og uddannelse i persondatasikkerhed, og det vil ofte også føre til, at medarbejdere opdager og rapporterer fejl og mangler. Husk også at afholde regelmæssige møder, hvor man kontrollerer, at behandlingsoversigten er opdateret.