Behandlingsprotokoll - registrering av behandling av personopplysninger v. 1.6

Hensikt

Sikre at det er vurdert og dokumentert hvilken rolle kommunen har i en behandling av personopplysninger, om behandlingen er lovlig og om det er behov for å gjennomføre en personvernkonsekvensvurdering (DPIA).

Gjelder for

Systemeier, Leder med personalansvar, fagsystemansvarlige, prosjektledere/rådgivere som er ansvarlig for en arbeidsprosess som behandler personopplysninger.

Ansvar for gjennomføring

Systemeier og leder med personalansvar har ansvar for gjennomføring, men kan delegere myndighet for utførelse til fagsystemansvarlig, prosjektleder mv. Se også Informasjonssikkerhet - policy (Ikke tilgjengelig) om roller og ansvar i sikkerhetsorganisasjonen.

Leder med personalansvar skal sørge for at eget ansvarsområde har en dokumentert oversikt over alle behandlinger av personopplysninger og den skal vedlikeholdes og oppdateres i henhold til Årshjul for informasjonssikkerhet.

Systemeier har ansvar for at alle behandlinger som systemet har er registrert. Det kan være flere type behandlinger i samme system også på tvers av kommunalområder. Systemeier har derfor et spesielt ansvar for å lede og koordinere registrering av behandlinger i samarbeid med aktuelle fagsystemansvarlige og øvrige som behandler personopplysninger i systemet

Fagsystemansvarlig vil være den personen som naturlig gjennomfører registrering av behandlingene på vegne av systemeier.

Beskrivelse

For å vurdere og dokumentere hvilken rolle kommunen har i en behandling av personopplysninger, lovligheten av behandlingen og om det må gjennomføres en personvernkonsekvensvurdering (DPIA) skal mal for Oversikt over behandlig av personopplysninger fylles ut. Veileder til malen finnes her: Veileder til mal for oversikt behandling av personopplysninger.

Kontakt IKT sikkerhetsgruppen eller din områderepresentant i Informasjonssikkerhetsutvalget - mandat dersom du trenger hjelp med utfyllingen.

Utfylt mal for Oversikt over behandling av personopplysninger skal oppbevares sammen med øvrig dokumentasjon fra stegene for å ivareta personvern og informasjonssikkerhet. Oversikt over behandling av personopplsyninger skal oppdateres dersom det skjer endringer i behandlingen.

Hvilken rolle har kommunen i behandlingen av personopplysninger?

I mal for Oversikt over behandling av personopplysninger skal det fylles ut om kommunen er behandlingsansvarlig, databehandler, har et felles behandlingsansvar med en annen virksomhet eller om behandlingen er en overføring av personopplysninger mellom to selvstendig behandlingsansvarlige. Det er viktig å avklare rollene fordi det påvirker omfanget av ansvar og plikter som kommunen har.

Det er særlig viktig at rollene blir tidlig avklart når kommunen inngår samarbeid med andre kommuner, universiteter eller andre virksomheter, for eksempel ved interkommunale samarbeid, forskningsprosjekter, digitaliseringsprosjekter eller sameier for å sikre at personvernregelverket etterleves gjennom hele arbeidsprosessen og for å unngå at det må brukes mye tid på å avklare rollene på et senere tidspunkt.

Når en ansatt i kommunen er student ved en høgskole/universitet og skal behandle personopplysninger i forbindelse med studiet er utgangspunktet at det er retningslinjene/reglene hos den relevante høgskolen/universitet som skal følges og at personopplysninger ikke skal behandles på kommunens enheter. Dersom kommunens enheter brukes til å behandle personopplsyninger må også kommunens retningslinjer/regler følges.

Se veileder hos Datatilsynet for hjelp til å vurdere om det foreligger en databehandlerrelasjon, et felles behandlingsansvar eller om behandlingen er en overføring mellom to selvstendig behandlingsansvarlige.

Ved felles behandlingsansvar må det avtales hvordan forpliktelsene etter personvernfordningen skal overholdes, særlig hvordan ansvaret for å ivareta de registrertes rettigheter er fordelt mellom de behandlingsansvarlige. Benytt mal for Avtale om felles behandlingsansvar

Ved behandlingsgrunnlag "berettiget interesse"

Dersom behandlingsgrunnlaget kan være personvernforordningen artikkel 6 nr.1 bokstav f "berettiget interesse" må det foretas en interesseavveining for å vurdere om behandlingen er lovlig. Benytt mal for vurdering av behandlingsgrunnlag, "berettiget interesse".

Definisjoner

Personopplysning: enhver opplysning om en identifisert eller identifiserbar fysisk person («den registrerte»); en identifiserbar fysisk person er en person som direkte eller indirekte kan identifiseres, særlig ved hjelp av en identifikator, f.eks. et navn, et identifikasjonsnummer, lokaliseringsopplysninger, en nettidentifikator eller ett eller flere elementer som er spesifikke for nevnte fysiske persons fysiske, fysiologiske, genetiske, psykiske, økonomiske, kulturelle eller sosiale identitet.

Behandling: enhver operasjon eller rekke av operasjoner som gjøres med personopplysninger, enten automatisert eller ikke, f.eks. innsamling, registrering, organisering, strukturering, lagring, tilpasning eller endring, gjenfinning, konsultering, bruk, utlevering ved overføring, spredning eller alle andre former for tilgjengeliggjøring, sammenstilling eller samkjøring, begrensning, sletting eller tilintetgjøring.

Vedlegg og referanser

Vedlegg

MAL - Oversikt over behandling av personopplysninger

VEILEDER til mal for oversikt over behandling av personopplysninger

mal for vurdering av behandlingsgrunnlag, "berettiget interesse"

Mal for avtale om felles behandlingsansvar

Referanser

personvernforordningen artikkel 1-32, 35

Forfatter:	Sigurd Paulsen (Seniorrådgiver)
Godkjent av:	Kjell Alfred Kristiansen (Kommunalsjef)
Dokumentadministrator:	Sigurd Paulsen (Seniorrådgiver)
Dokument-ID:	6026
Gyldig fra:	06.03.2023
Revisjonsfrist:	05.03.2026