Man har ikke lov til å holde på personopplysninger som man ikke har behandligsgrunnlag for. Det er derfor nødvendig å gå gjennom alle personopplysninger man fant i kartleggingen og avgjøre hva som er behandlingsgrunnlaget for hver enkelt av de.
Man har ikke lov til å holde på sensitive personopplysninger (med noen unntak). Som sensitive personopplysninger regnes:

• Opplysninger om rasemessig eller etnisk opprinnelse
• Opplysninger om politisk oppfatning
• Opplysninger om religion
• Opplysninger om filosofisk overbevisning
• Opplysninger om fagforeningsmedlemskap
• Genetiske opplysninger
• Biometriske opplysninger med det formål å entydig identifisere noen
• Helseopplysninger
• Opplysninger om seksuelle forhold
• Opplysninger om seksuell legning
• Opplysninger om straffedommer
• Opplysninger om lovovertredelser

Dersom man finner sensitive personopplysninger som man mener at man trenger, kan man sjekke de unntakene som finnes på datatilsynet og se om behandlingen faller inn under en av disse.
Dersom man ikke har behandlingsgrunnlag skal opplysningene slettes.

Ulike behandlingsgrunnlag

De ulike behandlinggrunnlagene man kan ha er:

• Samtykke: Personen det gjelder har gitt aktivt og informert samtykke til behandlingen.
• Nødvendig for å oppfylle en avtale: Gjelder dersom behandlingen er objektivt nødvendig for å kunne utføre en tjeneste eller levere en vare som personen har bedt om.
• Nødvendig for å oppfylle en rettsig plikt: Gjelder for opplysninger som virksomheten er pålagt å holde på etter lov.
• Nødvendig for vitale interesser: Kan kun brukes i sjeldne tilfeller der behandlingen er nødvendig for å beskytte den registrertes, eller en annen person sine vitale interesser (det vil si liv-eller død situasjoner).
• Nødvendig for å utføre en oppgave i allmennhetens interesse eller utøve offentlig myndighet: Dette grunnlaget omfatter i hovedsak offentlige virksomheter og private virksomheter som utfører oppdrag for det offentlige.
• Nødvendig for å ivareta legitime interesser: Kan brukes dersom behandlingen er nødvendig for å ivareta en berettiget interesse. Må vektes mot konsekvensene for personvernet.

På datatilsynet sine hjemmesider kan man lese mer detaljert hva som er gyldige behandlingsgrunnlag.

Protokoll

Alle virksomheter som behandler personopplysninger skal føre protokoll over disse. Protokollen skal inneholde hvilke typer personopplysninger som lagres, hvem de eventuelt deles med, hvordan de oppbevares og hvilket behandlingsgrunnlag man har.
Dersom virksomheten allerede har en slik protokoll, anbefales det at man fyller ut videre på denne med opplysningene man kom fram til i kartleggingen, og legger til behandlingsgrunnlag og tredjeparter.
Dersom virksomheten ikke har en slik protokoll kan man laste ned mal for protokoll fra datatilsynet her.

Etter å ha gått gjennom alle kilder til personopplysninger i utrukturert form og sett på behandlingsgrunnlag for hver enkelt av de, har man kanskje funnet noen som det ikke var behandlingsgrunnlag for. Disse må slettes med en gang før man går videre til neste steg: finne tiltak.