Ett eller flere behandlingsgrunnlag per protokoll?
Virksomheter skal dokumentere hvilke behandlingsgrunnlag de har for alle personopplysninger de bruker, og det skal velges bare ett av grunnlagene for hver behandling. Men betyr dette at en bare kan ha ett behandlingsgrunnlag per protokoll? Det synes som om dette ofte er tolkningen. Jeg skal her diskutere meg fram til at det kan være både praktisk og riktig å ha flere behandlingsgrunnlag per protokoll.
FØRST LITT OM PROTOKOLLER
I Personvernforordningen står det at virksomheter skal utarbeide protokoller for alle behandlingsaktiviteter. Det stilles ingen formkrav til protokollen, men det angis hva protokollen skal inkludere. Det stilles ikke krav til at behandlingsgrunnlaget skal oppgis, men Datatilsynet oppfordrer til at protokollen kan inkludere flere opplysninger om behandlingsaktivitetene for å sikre etterlevelse, og for å enklere kunne besvare henvendelser fra registrerte, blant annet om hvilket behandlingsgrunnlag som benyttes. En utvidet protokoll som inkluderer behandlingsgrunnlaget og eventuelle særlover, gjør det også enklere når virksomheten skal utarbeide personvernerklæringer, hvor behandlingsgrunnlaget skal oppgis.
OM ETT BEHANDLINGSGRUNNLAG PER BEHANDLING
I fortalen til Personvernforordningen der forholdet mellom de ulike rettsgrunnlagene (artikkel 6) omtales, står det at de ulike rettsgrunnlagene er likestilte. Opplistingen a-f gir altså ikke uttrykk for en rangering der bokstav a) er et bedre rettslig grunnlag enn for eksempel f). Videre står det at «Hvilket rettsgrunnlag som er nødvendig eller tilstrekkelig i det konkrete tilfellet vil bero på en forholdsmessighetsprinsipp.» En kan lese dette som at den behandlingsansvarlige skal ta stilling til hva som er det riktige behandlingsgrunnlaget for hver enkelt behandling. I Datatilsynets veiledning beskrives det på denne måten: «Det må finnes et behandlingsgrunnlag for behandling av hver enkelt personopplysning til hvert enkelt formål. Dersom flere behandlingsgrunnlag kan passe, må virksomheten bestemme seg for ett grunnlag per formål». Men dette betyr ikke at en bare skal velge ett behandlingsgrunnlag per protokoll. En protokoll kan inkludere flere behandlinger, noe som beskrives nedenfor.
OM FORMÅL OG BEHANDLINGER
Det kan være utfordrende for virksomheter å skrive formålet/ene med behandlingene som er fullt dekkene. En måte å bøte på dette som ofte benyttes, er å lage en kort beskrivelse av formålet/ene, samt liste opp hvilke enkeltbehandlinger som omfattes i protokollen. Det er en måte å nyansere på som de fleste forstår.
FLERE BEHANDLINGER I SAMME PROTOKOLL
Ved utarbeidelse av protokoller kan det være praktisk og naturlig å ha med flere enkeltbehandlinger. Det kan gjøre det enklere å få kontroll på hvilke opplysninger som brukes, samt når en skal informere de berørte om behandlingene. Har en virksomhet for mange protokoller og personvernerklæringer kan det gjøre det uoversiktlig både for virksomheten og de berørte. Eksempelvis kan det være praktisk å utarbeide en protokoll for «Barnehagehverdagen» som inkluderer behandling av kontaktinformasjon og spesialpedagogiske forhold mv., samt bruk av bilder på vegg i fellesrom. Da vil foreldrene kunne få en personvernerklæring som har med de aller fleste behandlinger, noe som øker muligheten for å erklæringene blir lest og forstått.
HVORDAN NYANSERE BEHANDLINGSGRUNNLAGENE I EN OG SAMME PROTOKOLL
Utarbeider virksomheten protokoller med flere behandlinger er det viktig at virksomheten i protokollen viser hvilke behandlingsgrunnlag som benyttes for de ulike behandlingene. Dette kan man forholdsvis enkelt gjøre ved å skrive at behandlingsgrunnlaget for opplysningene er artikkel 6.1.c (nødvendig for å oppfylle en rettslig plikt), men at bruk av bilder avkrever samtykke (artikkel 6.1.a). I tillegg skal særloven oppgis, i dette tilfellet Barnehageloven. Da har man oppfylt kravet om at hver behandling har et eget behandlingsgrunnlag i en og samme protokoll. Mange ganger er det også slik at flere formål og flere behandlinger har samme behandlingsgrunnlag, noe som gjøre det fornuftig å ha med flere behandlinger i en og samme protokoll.
LITT OM FORTALEN TIL PERSONVERNFORORDNINGEN
Sånn enkelt forklart kan vi si at en forordning er det samme som en lov, mens et direktiv er det samme som en forskrift. Når det utarbeides en forordning så publiseres denne sammen med fortalen til forordningen. Her har en forklart hvordan en forstår mange av paragrafene i praksis. Det kan derfor lønne seg å lese fortalene. Fortalene skal også sikre at de enkelte landene som er med i EU/EØS ikke skal tolke loven ulikt. Dette nevnes fordi det ovenfor vises til fortalen i Personvernforordningen.
KONSEKVENSER FOR PERSONVERNERKLÆRINGER
I og med at det faktisk kreves at en skal informeres om hvilke behandlingsgrunnlag som benyttes for alle behandlinger, så kan en ikke lage en generell personvernerklæring for en hel kommune eller for en virksomhet som bruker ulike opplysninger, noe de fleste gjør. Det må informeres på en åpen og rettferdig måte, som igjen betyr at det må lages personvernerklæringer for de fleste behandlinger, eller for de fleste protokoller om en velger å slå sammen flere behandlinger i en og samme protokoll.
FOR DE SOM BRUKER PERSONVERNAPPEN
Når du i Personvernappen fyller ut protokollene så har vi selvsagt tatt med behandlingsgrunnlag og særlover som egne punkt (kort). I Personvernappen lages det automatisk personvernerklæringer for hver protokoll, som du elegant og oversiktlig kan publisere til borgere og kunder. I protokollbiblioteket som vi kan levere er dette selvsagt også en del av løsningen.
De som leser dette blogginnlegget bør også lese: Har en kommune 200 eller 500 behandlinger. https://www.personvernappen.no/blog/har-en-kommune-200-eller-500-behandlinger
