Behandlingsprotokoll (ROPA) etter GDPR artikkel 30

Behandlingsprotokollen er en oversikt over hvordan virksomheten behandler personopplysninger. Den er påkrevd etter GDPR artikkel 30, og er som regel det første Datatilsynet ber om ved tilsyn. Her er hva protokollen må inneholde og hvem som er omfattet.

Hvem må føre behandlingsprotokoll?

Utgangspunktet i artikkel 30 er at alle behandlingsansvarlige og databehandlere skal føre protokoll. Artikkel 30(5) gir et unntak for virksomheter med under 250 ansatte — men unntaket faller bort dersom behandlingen kan medføre risiko for de registrerte, ikke er leilighetsvis, eller omfatter særlige kategorier personopplysninger. Fordi disse unntakene er så omfattende, må de aller fleste virksomheter i praksis likevel føre protokoll.

Hva må protokollen inneholde?

For behandlingsansvarlige skal protokollen etter artikkel 30(1) som minimum inneholde:

  • Behandlingsansvarliges navn og kontaktopplysninger (og evt. personvernombud)
  • Formålene med behandlingen
  • Kategorier av registrerte og kategorier av personopplysninger
  • Kategorier av mottakere opplysningene deles med
  • Overføringer til tredjeland og hvilke garantier som er på plass
  • Planlagte slettefrister for de ulike kategoriene (der det er mulig)
  • Generell beskrivelse av tekniske og organisatoriske sikkerhetstiltak

Databehandlere fører en enklere protokoll etter artikkel 30(2), med kategoriene av behandlinger utført på vegne av hver behandlingsansvarlig, tredjelandsoverføringer og sikkerhetstiltak.

Slik holder du protokollen oppdatert

  • 1.Kartlegg behandlingsaktivitetene — én oppføring per formål (lønn, kundeoppfølging, rekruttering osv.).
  • 2.Registrer rettslig grunnlag, kategorier av opplysninger og registrerte, mottakere og slettefrister for hver aktivitet.
  • 3.Knytt systemer og databehandlere til aktivitetene, og hold oversikt over databehandleravtaler og tredjelandsoverføringer.
  • 4.Oppdater protokollen løpende ved nye behandlinger eller endringer — den skal alltid være à jour.

Vanlige spørsmål

Hva er en behandlingsprotokoll (ROPA)?

ROPA (Records of Processing Activities) er en oversikt over alle behandlinger av personopplysninger i virksomheten. Den er påkrevd etter GDPR artikkel 30 og er ofte det første Datatilsynet ber om ved tilsyn.

Er små virksomheter unntatt fra kravet?

Artikkel 30(5) unntar virksomheter med under 250 ansatte — men unntaket gjelder ikke hvis behandlingen kan medføre risiko for de registrerte, ikke er leilighetsvis, eller omfatter særlige kategorier personopplysninger. I praksis må de aller fleste virksomheter likevel føre protokoll.

Hvem fører Datatilsynet tilsyn med?

Datatilsynet er tilsynsmyndighet for personvern i Norge og kan kreve innsyn i behandlingsprotokollen. Brudd på GDPR kan medføre overtredelsesgebyr på inntil 20 millioner euro eller 4 % av global omsetning.

Hva er forskjellen på behandlingsansvarlig og databehandler?

Behandlingsansvarlig bestemmer formål og midler for behandlingen. Databehandler behandler personopplysninger på vegne av den ansvarlige. Begge har plikt til å føre protokoll, men med ulikt innhold etter artikkel 30(1) og 30(2).

Denne siden er generell veiledning, ikke juridisk rådgivning. Styringsklar.no gir et strukturert arbeidsgrunnlag, men garanterer ikke lovkomplianse. Ved komplekse forhold anbefaler vi å involvere personvernombud, jurist eller annen fagperson.

Før behandlingsprotokollen med struktur

Prøv Styringsklar.no gratis i 14 dager. Registrer behandlingsaktiviteter, koble systemer og databehandlere, og eksporter en ferdig ROPA.

Start gratis prøveperiode