Vær oppmerksom på at det kan være vanskelig å vurdere om slike delinger er lovlige, og at konsekvensene av feilvurderinger kan være alvorlige, både for prosjektet ditt, institusjonen din, og for de registrerte som prosjektet behandler personopplysninger om.
Hvis det er aktuelt å dele personopplysninger fra prosjektet for andre formål, bør du derfor rådføre deg med din institusjon for bistand. Da forankrer du vurderingen av at viderebehandlingen er lovlig. Din institusjon har gjerne retningslinjer for slik deling som vil veilede deg. Her følger noen generelle råd:
Det kan være hensiktsmessig å kartlegge hvem mottakerne er først:
- Er det du selv eller medarbeidere i prosjektet som skal bruke personopplysninger fra prosjektet til andre formål? Eller skal personopplysninger fra prosjektet utleveres til personer/institusjoner som ikke selv deltar i prosjektet?
- Skal dataene deles kun med ansatte ved din institusjon? Eller skal data utleveres til andre institusjoner?
- Skal samarbeidsinstitusjoner (databehandler eller fellesansvarlig) i prosjektet selv bruke dataene de har tilgang til i prosjektet for egne formål som ligger utenfor prosjektformålet?
- Skal personopplysninger utleveres til internasjonale institusjoner eller institusjoner som er etablert i land utenfor EU/EØS?
Når dere har kartlagt hvilke mottakere som vil bruke personopplysninger fra prosjektet til egne formål, bør dere be om dokumentasjon fra hver mottaker, blant annet om:
- Hvilke formål har mottaker? Hva skal personopplysningene brukes til?
- Hvilke opplysninger trenger mottaker for sitt/sine formål?
- Hvilket rettslig grunnlag har mottaker for å behandle personopplysningene til sitt/sine formål?
Når dere har mottatt denne dokumentasjonen fra aktuelle mottakere, må dere finne ut om det er lov til å dele personopplysningene fra prosjektet til det nye formålet.
Det er viktig å være klar over at når personopplysninger deles for nye formål, skjer det i praksis to behandlinger av personopplysninger: selve delingen, og den videre bruken. Den som deler må vurdere at deres behandling (delingen) er lovlig. Og den som mottar må vurdere at deres behandling (den videre bruken) er lovlig.
Hvis dere deler data fra prosjektet, vil altså mottakeren være dataansvarlig for den videre behandlingen av personopplysninger. Hovedoppgaven for dere er å vurdere om selve utleveringen er lovlig. Dette må dere vurdere i lys av de juridiske rammene som gjelder for prosjektet. Her må dere se på de lovbestemmelsene, avtalene og tillatelsene som gjelder for behandlingen av personopplysninger i prosjektet, og vurdere om disse åpner for deling til andre formål, i så fall på hvilke vilkår.
Dere må særlig vurdere hva som kan gi rettslig grunnlag for behandlingen (delingen) i personvernregelverket, og hvordan delingen kan skje i samsvar med reglene om taushetsplikt. Dere må også sørge for at delingen følger personvernprinsippene (som formålsbegrensning, dataminimering, sikkerhet), og at de registrertes rettigheter ivaretas (f.eks. at de informeres om delingen, med mindre det finnes lovlig unntak).
Ettersom hver deling til nye formål er å anse som en egen behandling av personopplysninger, vil det være hensiktsmessig å følge flytskjemaet vedlagt forskningsveilederen fra start for å finne ut hvilke forhold dere må kartlegge og vurdere før delingen. Det gjelder enten det er du selv eller andre ved din institusjon – eller det er eksterne ved andre institusjoner – som skal bruke opplysningene videre til andre formål.