Steg 2: behandlingsgrunnlag

Man har ikke lov til å holde på personopplysninger som man ikke har behandligsgrunnlag for. Det er derfor nødvendig å gå gjennom alle personopplysninger man fant i kartleggingen og avgjøre hva som er behandlingsgrunnlaget for hver enkelt av de.
Man har ikke lov til å holde på sensitive personopplysninger (med noen unntak). Som sensitive personopplysninger regnes:

Dersom man finner sensitive personopplysninger som man mener at man trenger, kan man sjekke de unntakene som finnes på datatilsynet og se om behandlingen faller inn under en av disse.
Dersom man ikke har behandlingsgrunnlag skal opplysningene slettes.

Ulike behandlingsgrunnlag


De ulike behandlinggrunnlagene man kan ha er:

datatilsynet sine hjemmesider kan man lese mer detaljert hva som er gyldige behandlingsgrunnlag.

Protokoll

Alle virksomheter som behandler personopplysninger skal føre protokoll over disse. Protokollen skal inneholde hvilke typer personopplysninger som lagres, hvem de eventuelt deles med, hvordan de oppbevares og hvilket behandlingsgrunnlag man har.
Dersom virksomheten allerede har en slik protokoll, anbefales det at man fyller ut videre på denne med opplysningene man kom fram til i kartleggingen, og legger til behandlingsgrunnlag og tredjeparter.
Dersom virksomheten ikke har en slik protokoll kan man laste ned mal for protokoll fra datatilsynet her.

Etter å ha gått gjennom alle kilder til personopplysninger i utrukturert form og sett på behandlingsgrunnlag for hver enkelt av de, har man kanskje funnet noen som det ikke var behandlingsgrunnlag for. Disse må slettes med en gang før man går videre til neste steg: finne tiltak.