Kort svar
Når personopplysninger samles inn fra andre kilder enn personen selv, må virksomheten være ekstra bevisst på hva som skal informeres om og når.
Før dere setter behandlingen i drift eller svarer den registrerte, bør dere ha kontroll på hvilke kilder opplysningene kommer fra og til hvilket formål, når og hvordan informasjonen skal gis og om det finnes unntak som virkelig passer situasjonen.
Når dette blir aktuelt
- når data kjøpes, mottas fra samarbeidspartner eller hentes fra åpne kilder
- når virksomheten bygger lister eller profiler uten direkte kontakt med personen
- når det er usikkert hvor langt informasjonsplikten rekker i praksis
Det bedriften bør avklare først
| Spørsmål | Hvorfor det betyr noe |
|---|---|
| Hvilke kilder opplysningene kommer fra og til hvilket formål | avgjør hva informasjonen må dekke |
| Når og hvordan informasjonen skal gis | er viktig for at den registrerte faktisk får innsikt |
| Om det finnes unntak som virkelig passer situasjonen | reduserer risikoen for at unntak brukes for bredt |
Slik bør dere gå fram
- Kartlegg hvilke personopplysninger virksomheten får inn fra andre kilder.
- Lag en standard for hvilken informasjon den registrerte skal få og når.
- Vurder konkret om noen lovlige unntak faktisk passer situasjonen.
- Dokumenter vurderingen og gjør det lett å gjenbruke rutinen i lignende tilfeller.
Dokumenter og spor som bør være på plass
I personvernspørsmål er det ofte kombinasjonen av formål, tilgangsstyring og dokumentasjon som avgjør om rutinen holder.
- beskrivelse av datakilde og formål med behandlingen
- mal eller tekst for informasjon til registrerte
- vurdering av eventuelle unntak eller særlige forhold
- logg over når og hvordan informasjon er gitt
Typiske feil
- virksomheten antar at ansvaret ligger hos kilden og ikke hos seg selv
- informasjonsteksten blir så generell at den ikke forklarer den konkrete behandlingen
- unntak brukes av bekvemmelighet og ikke på grunn av faktisk hjemmel
Når bør dere få konkret hjelp?
Når opplysningene kommer fra mange kilder eller behandlingen er lite synlig for den registrerte, bør informasjonsopplegget kvalitetssikres før det skaleres.
Slik bruker dere guiden i praksis
For en bedrift er ikke målet å lese seg opp på informasjonsplikt når opplysninger kommer fra andre enn den registrerte i seg selv. Målet er å avklare hva som må besluttes, hvem som eier oppfølgingen, og hvilke dokumenter som bør tåle en senere kontroll, tvist eller intern gjennomgang.
Bruk derfor guiden som en arbeidsliste: start med formål, datatyper, tilgang, leverandører og sletterutiner, og fordel deretter oppgavene mellom systemeier, ledelse og den som eier kundereisen eller HR-prosessen. Da blir vurderingen mer konkret enn en generell regelavklaring, og dere reduserer risikoen for for brede datainnsamlinger, uklare leverandørroller og svak håndtering av innsyn eller brudd.
Spørsmål som gir bedre avklaring
- Hvilke personopplysninger behandles, og hvilket konkret formål støtter de?
- Hvem bestemmer bruken av opplysningene, og hvem behandler dem på vegne av bedriften?
- Hvilke systemer, leverandører og tilganger må inngå i vurderingen?
- Hva sier rutinen om informasjon, innsyn, sletting og avvik?
- Hvilke valg bør dokumenteres slik at de kan forklares ved kontroll eller spørsmål?
Et godt beslutningsgrunnlag bør vise
| Del | Hva bør stå klart |
|---|---|
| Formål | hvorfor opplysningene brukes, og om bruken er nødvendig |
| Roller | hvem som bestemmer behandlingen, og hvem som leverer systemer eller tjenester |
| Kontroll | hvordan tilgang, sletting, innsyn og avvik følges opp i praksis |
Denne typen oversikt gjør det enklere å prioritere riktig nivå på arbeidet. Den hjelper også bedriften å skille mellom det som kan løses med bedre intern rutine, det som bør avklares med motpart eller leverandør, og det som bør vurderes før dere tar neste formelle steg.
Relaterte guider
- Ansattdata: hvilke opplysninger kan arbeidsgiver behandle?
- Protokoll over behandlingsaktiviteter: slik kommer du i gang
- Personvernerklæring: hvem trenger det og hva bør stå der?