Kort svar
Når personopplysninger samles inn fra andre kilder enn personen selv, må virksomheten være ekstra bevisst på hva som skal informeres om og når.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke kilder opplysningene kommer fra og til hvilket formål, når og hvordan informasjonen skal gis og om det finnes unntak som virkelig passer situasjonen.
Når dette blir aktuelt
- når data kjøpes, mottas fra samarbeidspartner eller hentes fra åpne kilder
- når virksomheten bygger lister eller profiler uten direkte kontakt med personen
- når det er usikkert hvor langt informasjonsplikten rekker i praksis
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke kilder opplysningene kommer fra og til hvilket formål | avgjør hva informasjonen må dekke |
| Når og hvordan informasjonen skal gis | er viktig for at den registrerte faktisk får innsikt |
| Om det finnes unntak som virkelig passer situasjonen | reduserer risikoen for at unntak brukes for bredt |
Slik bør dere gå fram
- Kartlegg hvilke personopplysninger virksomheten får inn fra andre kilder.
- Lag en standard for hvilken informasjon den registrerte skal få og når.
- Vurder konkret om noen lovlige unntak faktisk passer situasjonen.
- Dokumenter vurderingen og gjør det lett å gjenbruke rutinen i lignende tilfeller.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- beskrivelse av datakilde og formål med behandlingen
- mal eller tekst for informasjon til registrerte
- vurdering av eventuelle unntak eller særlige forhold
- logg over når og hvordan informasjon er gitt
Typiske feil
- virksomheten antar at ansvaret ligger hos kilden og ikke hos seg selv
- informasjonsteksten blir så generell at den ikke forklarer den konkrete behandlingen
- unntak brukes av bekvemmelighet og ikke på grunn av faktisk hjemmel
Når bør dere få konkret hjelp?
Når opplysningene kommer fra mange kilder eller behandlingen er lite synlig for den registrerte, bør informasjonsopplegget kvalitetssikres før det skaleres.
Relaterte guider
- Ansattdata: hvilke opplysninger kan arbeidsgiver behandle?
- Protokoll over behandlingsaktiviteter: slik kommer du i gang
- Personvernerklæring: hvem trenger det og hva bør stå der?