Kort svar
Deling internt i konsern eller med rådgivere er ikke bare en praktisk detalj. Virksomheten må vite hvorfor delingen skjer, hvem som har rolleansvar og hvor grensene går.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvorfor opplysningene skal deles og hva mottaker skal gjøre, hvordan delingen begrenses til det nødvendige og hvordan avtaler, informasjon og tilgangskontroll støtter delingen.
Når dette blir aktuelt
- når selskaper i samme konsern bruker hverandres data
- når advokater, revisorer eller andre rådgivere trenger innsyn
- når ledelsen vil etablere mer deling uten å øke risikoen unødig
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvorfor opplysningene skal deles og hva mottaker skal gjøre | avgjør hvilket grunnlag og hvilken rollemodell som passer |
| Hvordan delingen begrenses til det nødvendige | er viktig for å unngå at alt sendes for sikkerhets skyld |
| Hvordan avtaler, informasjon og tilgangskontroll støtter delingen | reduserer risikoen for uklar ansvarslinje |
Slik bør dere gå fram
- Definer formålet med delingen og hva mottaker faktisk trenger tilgang til.
- Vurder om mottakeren er egen behandlingsansvarlig, databehandler eller noe annet.
- Begrens delingen til relevante opplysninger og etabler sikker overføring.
- Oppdater informasjonstekster og avtaler hvis delingen er varig eller systematisk.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- oversikt over delingsscenarier og mottakere
- rolle- og grunnlagsvurdering for delingen
- eventuelle avtaler eller instruksdokumenter
- tilgangs- og overføringsrutiner for de aktuelle opplysningene
Typiske feil
- konsernforhold brukes som begrunnelse i seg selv uten videre vurdering
- rådgivere får mer data enn de trenger for oppdraget
- deling skjer via e-post eller manuelle uttrekk uten spor og kontroll
Når bør dere få konkret hjelp?
Når deling skjer jevnlig eller mellom mange enheter, bør opplegget kvalitetssikres før det blir etablert praksis.
Relaterte guider
- Leverandørbytte og migrering av personopplysninger: hva må planlegges?
- Sensitive personopplysninger: når er de i spill og hva kreves?
- Overføring av personopplysninger til land utenfor EØS