Dataansvarlig er forpliktet til å føre protokoll over behandlingsaktiviteter, jf. personvernforordningen art. 30. Dette innebærer at din institusjon trenger følgende informasjon om hvordan prosjektet behandler personopplysninger:
- hvem som er dataansvarlig (og om det er flere dataansvarlige)
- formålet/ene (hvorfor personopplysningene behandles)
- kategorier registrerte og typer personopplysninger,
- hvilke mottakere som får tilgang (hvis utenfor EU/EØS - oppgi land og garantier)
- tidspunkt/kriterier for når dere skal slette personopplysningene
- og sikkerhetstiltak ved behandlingen
Når du setter i gang et prosjekt må du derfor sørge for at prosjekt blir protokollført, og at du arkiverer dokumentasjon på at behandlingen av personopplysninger er lovlig. Din institusjon kan ha egne rutiner på hvordan behandlingsaktiviteter blir protokollført og hvordan dette skal dokumenteres, f. eks i form av elektroniske meldeskjemaer. Det anbefales at du undersøker hva som gjelder ved din institusjon.