Kort svar

Når personopplysninger samles inn fra andre kilder enn personen selv, må virksomheten være ekstra bevisst på hva som skal informeres om og når.

Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke kilder opplysningene kommer fra og til hvilket formål, når og hvordan informasjonen skal gis og om det finnes unntak som virkelig passer situasjonen.

Når dette blir aktuelt

  • når data kjøpes, mottas fra samarbeidspartner eller hentes fra åpne kilder
  • når virksomheten bygger lister eller profiler uten direkte kontakt med personen
  • når det er usikkert hvor langt informasjonsplikten rekker i praksis

Det bedriften bør avklare først

SpørsmålHvorfor det betyr noe
Hvilke kilder opplysningene kommer fra og til hvilket formålavgjør hva informasjonen må dekke
Når og hvordan informasjonen skal giser viktig for at den registrerte faktisk får innsikt
Om det finnes unntak som virkelig passer situasjonenreduserer risikoen for at unntak brukes for bredt

Slik bør dere gå fram

  1. Kartlegg hvilke personopplysninger virksomheten får inn fra andre kilder.
  2. Lag en standard for hvilken informasjon den registrerte skal få og når.
  3. Vurder konkret om noen lovlige unntak faktisk passer situasjonen.
  4. Dokumenter vurderingen og gjør det lett å gjenbruke rutinen i lignende tilfeller.

Dokumenter og spor som bør være på plass

I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.

  • beskrivelse av datakilde og formål med behandlingen
  • mal eller tekst for informasjon til registrerte
  • vurdering av eventuelle unntak eller særlige forhold
  • logg over når og hvordan informasjon er gitt

Typiske feil

  • virksomheten antar at ansvaret ligger hos kilden og ikke hos seg selv
  • informasjonsteksten blir så generell at den ikke forklarer den konkrete behandlingen
  • unntak brukes av bekvemmelighet og ikke på grunn av faktisk hjemmel

Når bør dere få konkret hjelp?

Når opplysningene kommer fra mange kilder eller behandlingen er lite synlig for den registrerte, bør informasjonsopplegget kvalitetssikres før det skaleres.

Relaterte guider

Offentlige kilder og videre lesning