Trenger du en mal for behandlingsprotokoll (ROPA) som oppfyller artikkel 30 i personvernforordningen (GDPR)? Her er en ferdig template med alle feltene tilsynet forventer, et utfylt eksempel og en veiledning. En behandlingsprotokoll er en oversikt over alle behandlingsaktiviteter virksomheten gjennomfører med personopplysninger, og den er lovpålagt for både behandlingsansvarlige og databehandlere. Malen under kan føres i et regneark eller et fagsystem, og dekker de obligatoriske feltene i artikkel 30 nr. 1 – supplert med rettslig grunnlag, som Datatilsynet i praksis alltid forventer.
For det juridiske rammeverket, se vår artikkel om behandlingsprotokoll etter artikkel 30. Personvernforordningen gjelder i Norge gjennom personopplysningsloven og EØS-avtalen.
Mal for behandlingsprotokoll
Protokollen føres med én rad per behandlingsaktivitet. Malen har følgende kolonner:
A. Behandlingsansvarlig — navn, org.nr., kontaktopplysninger, eventuell felles behandlingsansvarlig og representant. B. Personvernombud — navn og kontaktopplysninger (hvis utnevnt). C. Behandlingsaktivitet — kort navn (f.eks. «Lønnsadministrasjon»). D. Formål — hvorfor opplysningene behandles. E. Rettslig grunnlag — artikkel 6 (og eventuelt artikkel 9 for sensitive opplysninger), med henvisning til lov der aktuelt. F. Kategorier av registrerte — f.eks. ansatte, kunder, leverandører. G. Kategorier av personopplysninger — f.eks. navn, kontonummer, helseopplysninger. H. Mottakere — hvem opplysningene utleveres til, herunder databehandlere. I. Tredjelandsoverføring — land og overføringsgrunnlag (artikkel 46), eller «nei». J. Slettefrist — konkret periode eller kriterium. K. Sikkerhetstiltak — generell beskrivelse av tekniske og organisatoriske tiltak (artikkel 32).
Utfylt eksempel (rad for «Lønnsadministrasjon»)
A. [Firma AS], org.nr. 999 888 777, post@firma.no B. Kari Nordmann, personvernombud@firma.no C. Lønnsadministrasjon D. Beregne og utbetale lønn, innberette skatt og arbeidsgiveravgift E. Art. 6 nr. 1 b (avtale) og art. 6 nr. 1 c (rettslig forpliktelse – skatteforvaltningsloven, bokføringsloven) F. Ansatte G. Navn, fødselsnummer, kontonummer, lønn, skattekort, fravær H. Skatteetaten, bank, lønnssystemleverandør (databehandler) I. Nei J. Lønnsdata slettes 5 år etter regnskapsårets slutt (bokføringsloven); øvrige personaldata slettes ved arbeidsforholdets opphør + [x] K. Tilgangsstyring (kun lønnsansvarlig), kryptert lagring, logging, databehandleravtale med systemleverandør
Databehandlerens protokoll (artikkel 30 nr. 2)
Er virksomheten databehandler, føres en enklere protokoll med: navn på databehandler og hver behandlingsansvarlig oppdraget utføres for, kategoriene av behandlinger utført på vegne av hver, eventuelle tredjelandsoverføringer og en generell beskrivelse av sikkerhetstiltakene. Se sammenhengen med databehandleravtalen.
Slik fyller du ut malen
Utfyllingen tar mindre tid enn mange frykter, men krever systematikk. Protokollen er nesten alltid det første Datatilsynet ber om i et tilsyn, og en mangelfull protokoll signaliserer overfor tilsynet at virksomheten ikke har oversikt over egne behandlinger. Bygg den derfor én behandlingsaktivitet av gangen framfor å forsøke å dekke alt på én gang, og bruk kolonnene under som en fast sjekkliste for hver rad. Erfaringen fra tilsyn er tydelig: virksomheter som møter Datatilsynet med en fullstendig protokoll, kommer langt raskere gjennom saken enn de som må rekonstruere oversikten mens tilsynet pågår.
Start med å kartlegge behandlingene. Gå gjennom virksomheten avdeling for avdeling: HR, økonomi, salg, marked, IT, kundeservice. Hver funksjon behandler personopplysninger. Typiske aktiviteter er lønn, rekruttering, kundeoppfølging, markedsføring, kameraovervåking og leverandøroppfølging.
Koble hvert formål til et rettslig grunnlag. Selv om artikkel 30 ikke uttrykkelig krever kolonne E, forventer Datatilsynet at protokollen viser grunnlaget for hver behandling. En protokoll uten rettslig grunnlag regnes i praksis som mangelfull.
Angi konkrete slettefrister. «Så lenge det er nødvendig» er ikke en frist. Bruk konkrete perioder eller kriterier, i tråd med prinsippet om lagringsbegrensning. Skill mellom lovpålagt oppbevaring og øvrige data.
List mottakerne, inkludert databehandlere. Hver ekstern leverandør som behandler opplysninger på dine vegne, skal fremgå her og ha en gyldig databehandleravtale. Kryss protokollen mot avtaleoversikten.
Hold protokollen levende. Oppdater ved hver ny behandling, nytt system eller ny leverandør. Et verktøy som Legiscope kan holde protokollen oppdatert ved å koble den til databehandleravtaler, risikovurderinger og slettefrister, slik at én endring forplanter seg til de andre dokumentene.
Slik holder du protokollen oppdatert
En behandlingsprotokoll som ikke vedlikeholdes, mister raskt verdien. Den mest robuste metoden er å koble oppdatering til eksisterende prosesser, slik at nye behandlinger fanges opp automatisk. Tre triggere er særlig viktige. For det første innkjøp og anskaffelser: hver gang et nytt system eller en ny leverandør tas i bruk, skal protokollen oppdateres og en databehandleravtale inngås. For det andre nye prosjekter og tjenester: enhver ny behandling skal inn i protokollen, gjerne som del av en personvernkonsekvensvurdering der behandlingen er risikofylt. For det tredje organisasjonsendringer: omorganisering, oppkjøp eller nedleggelse endrer hvilke behandlinger som pågår. I tillegg bør protokollen gjennomgås i sin helhet minst årlig. Et fast eierskap – gjerne hos personvernombudet eller en utpekt ansvarlig – sikrer at oppdatering faktisk skjer og ikke blir alles ansvar og dermed ingens.
Hva bør ikke stå i protokollen?
Protokollen beskriver kategorier av behandlinger, ikke enkeltopplysninger om enkeltpersoner. Den skal ikke inneholde selve personopplysningene – ingen navnelister, ingen kundedata. Å fylle protokollen med konkrete personopplysninger gjør den både uoversiktlig og til et nytt sikkerhetsproblem i seg selv. Protokollen skal heller ikke forveksles med personvernerklæringen: erklæringen er offentlig informasjon til de registrerte, mens protokollen er intern dokumentasjon. Hold derfor protokollen på kategorinivå – én rad per behandlingsaktivitet, med formål, grunnlag, kategorier, mottakere, frist og sikkerhet.
Vanlige feil
- Å tro at unntaket for under 250 ansatte gjelder. Så snart virksomheten behandler personopplysninger fast (som enhver arbeidsgiver), faller unntaket bort. Før protokoll uansett.
- Å utelate rettslig grunnlag. Uten kolonne E er protokollen mangelfull i Datatilsynets øyne.
- Vage slettefrister. «Ved behov» eller «så lenge nødvendig» oppfyller ikke kravet. Angi konkrete perioder.
- Å glemme databehandlerne. Hver leverandør skal med i kolonne H og ha egen avtale.
- Å la protokollen bli utdatert. En protokoll fra oppstartsåret uten senere oppdatering gir falsk trygghet.
Ofte stilte spørsmål
Kan behandlingsprotokollen føres i et regneark?
Ja. Artikkel 30 krever bare at protokollen føres «skriftlig, herunder elektronisk». Et regneark er fullt lovlig for mindre virksomheter. For større virksomheter med mange behandlinger og hyppige endringer blir et regneark fort tungvint å holde oppdatert, og et fagsystem er mer praktisk.
Må protokollen publiseres?
Nei. Behandlingsprotokollen er intern dokumentasjon som skal gjøres tilgjengelig for Datatilsynet på forespørsel, men ikke publiseres. Den må ikke forveksles med personvernerklæringen, som er offentlig informasjon til de registrerte.
Hvor detaljert må hver rad være?
Detaljnivået skal være tilstrekkelig til å gi reell oversikt, men protokollen beskriver kategorier – ikke enkeltopplysninger om enkeltpersoner. Formål, kategorier av registrerte og opplysninger, mottakere, slettefrist og sikkerhetstiltak skal fremgå klart nok til at en utenforstående forstår behandlingen.
Hvor mange behandlinger har en typisk virksomhet?
Det varierer sterkt, men selv en liten virksomhet har som regel mellom ti og tjue behandlingsaktiviteter når man tar med lønn, rekruttering, kundeoppfølging, markedsføring, leverandørhåndtering, IT-drift og eventuell kameraovervåking. Større virksomheter har fort flere titalls. Poenget er ikke antallet, men at kartleggingen er fullstendig – en behandling som mangler i protokollen, er en behandling ingen har vurdert grunnlaget for.
Kan flere virksomheter dele én protokoll?
Nei, hver behandlingsansvarlig fører sin egen protokoll. I et konsern kan man bruke felles mal og felles verktøy, men hvert rettssubjekt er ansvarlig for sin egen protokoll over egne behandlinger. Er to virksomheter felles behandlingsansvarlige for en bestemt behandling, skal begge føre den i sine respektive protokoller.
Konklusjon
Behandlingsprotokollen er dokumentet hele personvernarbeidet hviler på, og en god mal gjør den håndterbar. Bruk kolonnene over, koble hvert formål til et rettslig grunnlag, angi konkrete slettefrister, og list alle mottakere inkludert databehandlere. Start med en systematisk kartlegging avdeling for avdeling, og hold protokollen levende ved å oppdatere den ved hver endring. En fullstendig og oppdatert protokoll er alltid det første Datatilsynet ber om – og bruk gjerne vår mal for databehandleravtale parallelt, siden de to henger tett sammen.
Denne malen gir generell informasjon om artikkel 30 og utgjør ikke juridisk rådgivning. Tilpass den til din konkrete situasjon.
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial