Kort svar
Deling internt i konsern eller med rådgivere er ikke bare en praktisk detalj. Virksomheten må vite hvorfor delingen skjer, hvem som har rolleansvar og hvor grensene går.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvorfor opplysningene skal deles og hva mottaker skal gjøre, hvordan delingen begrenses til det nødvendige og hvordan avtaler, informasjon og tilgangskontroll støtter delingen.
Når dette blir aktuelt
- når selskaper i samme konsern bruker hverandres data
- når advokater, revisorer eller andre rådgivere trenger innsyn
- når ledelsen vil etablere mer deling uten å øke risikoen unødig
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvorfor opplysningene skal deles og hva mottaker skal gjøre | avgjør hvilket grunnlag og hvilken rollemodell som passer |
| Hvordan delingen begrenses til det nødvendige | er viktig for å unngå at alt sendes for sikkerhets skyld |
| Hvordan avtaler, informasjon og tilgangskontroll støtter delingen | reduserer risikoen for uklar ansvarslinje |
Slik bør dere gå fram
- Definer formålet med delingen og hva mottaker faktisk trenger tilgang til.
- Vurder om mottakeren er egen behandlingsansvarlig, databehandler eller noe annet.
- Begrens delingen til relevante opplysninger og etabler sikker overføring.
- Oppdater informasjonstekster og avtaler hvis delingen er varig eller systematisk.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- oversikt over delingsscenarier og mottakere
- rolle- og grunnlagsvurdering for delingen
- eventuelle avtaler eller instruksdokumenter
- tilgangs- og overføringsrutiner for de aktuelle opplysningene
Typiske feil
- konsernforhold brukes som begrunnelse i seg selv uten videre vurdering
- rådgivere får mer data enn de trenger for oppdraget
- deling skjer via e-post eller manuelle uttrekk uten spor og kontroll
Når bør dere få konkret hjelp?
Når deling skjer jevnlig eller mellom mange enheter, bør opplegget kvalitetssikres før det blir etablert praksis.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på deling av personopplysninger i konsern eller med rådgivere i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?
- Sensitive personopplysninger: når er de i spill og hva kreves?
- Overføring av personopplysninger til land utenfor EØS