Generelt sett bør hver organisasjon holde oversikt over sine behandlingsaktiviteter. Dette er en oversikt over alle behandlingsaktiviteter og kan hjelpe deg med å gjøre riktige vurderinger av ditt ansvar etter GDPR og av mulige risikoer.

Hver av disse behandlingsaktivitetene skal beskrives i journalen med følgende opplysninger:

• formålet med behandlingen (f.eks. kundelojalitet);
• kategoriene av opplysninger som behandles (f.eks. for lønn: navn, fornavn, fødselsdato, lønn osv.);
• hvem som har tilgang til opplysningene (mottakerne — f.eks.: avdelingen med ansvar for rekruttering, IT-tjeneste, ledelse, tjenesteleverandører, partnere...);
• der det er relevant, opplysninger knyttet til overføring av personopplysninger utenfor Det europeiske økonomiske samarbeidsområde (EØS);
• der det er mulig, lagringsperioden (perioden som opplysningene er nyttige fra et operativt synspunkt, og fra et arkiveringsperspektiv).
• der det er mulig, en generell beskrivelse av sikkerhetstiltakene.

Registreringen av behandlingsaktiviteter er underlagt ansvaret til virksomhetens leder.

Denne protokollen må være tilgjengelig på forespørsel fra tilsynsmyndigheten i EØS-landet der du opererer.

Det er ikke nødvendig for virksomheter som har færre enn 250 ansatte å nevne rent sporadiske aktiviteter i sin journal (f.eks. opplysninger behandlet for engangsarrangementer som åpning av en butikk).

 

Mer informasjon:

• Etterlevelse