For det første må du kartlegge rollene til de ulike personene som bidrar i prosjektet. Du må ha oversikt over hvem som skal få tilgang til personopplysninger, og hvilke opplysninger hver av dem trenger for å utføre sine oppgaver. Enkelt sagt kan du ikke dele alt med alle, bare fordi de har en tilknytning til prosjektet. Tilgangen må differensieres ut fra hvilke oppgaver de har i prosjektet.
Vi kan nevne noen eksempler for å illustrere dette. En medarbeider som skal oppsummere forskningsfunnene trenger kanskje bare tilgang til anonyme analyseresultater for å utføre sin oppgave. Medarbeidere som skal analysere data, derimot, vil kanskje trenge hele datasettet, med alle bakgrunnsvariabler og prosjekt-ID for hver forskningsdeltager (indirekte personopplysninger), men de trenger gjerne ikke navn på deltagerne.
Tilgang til navnene og koblingsnøkkelen trenger kanskje bare du som prosjektleder, evt. også en administrativt ansatt i ditt fravær. Disse eksemplene er ikke uttømmende, og det finnes mange ulike måter å organisere tilgangene på. Men de viser at det kan variere fra person til person i prosjektet hvilke prosjektdata de trenger tilgang til. Prosjektet må ha en dokumentert oversikt over hvilke prosjektmedarbeidere som har tilgang og hvorfor.
For det andre må du ha oversikt over om prosjektdata med personopplysninger skal deles kun med prosjektmedarbeidere som er ansatt internt ved din institusjon, eller om slike data også skal deles med ansatte ved andre institusjoner. Det kan for eksempel være nødvendig å dele personopplysninger med eksterne prosjektmedarbeidere, samarbeidspartnere og/eller leverandører for å få gjennomført prosjektet.
Vær oppmerksom på at når du som prosjektleder deler personopplysninger med ansatte ved en annen institusjon for å oppfylle prosjektformålet, gjør du dette på vegne av din institusjon. Ved slike samarbeid må det foreligge en skriftlig avtale mellom de to institusjonene (se kapittel 15.1 til 15.4). For at dere skal inngå rett type avtale, må du og din institusjon vite hvilken rolle mottakerinstitusjonen har. Se definisjonene i kapittel 6 om roller og ansvar, og finn ut hvilken rolle hver av de eksterne mottakerne har i ditt prosjekt.
Den andre institusjonen vil ha rolle enten som databehandler eller som fellesansvarlig, avhengig av hvem som bestemmer formålet (hvorfor) og midlene (hvordan) for behandlingen av personopplysningene i prosjektet. Hvis prosjektet ditt benytter leverandører som kun får tilgang til personopplysninger uten å bruke dem til egne formål, definerer du disse mottakerne som databehandlere (f.eks. nettskjema, videosamtale, analyseinfrastruktur, lagringstjenester, skytjenester). Hvis institusjonene du deler med derimot samarbeider, slik at dere – helt eller delvis – bestemmer formål og midler i fellesskap, er de felles dataansvarlige sammen med din institusjon.
For det tredje må du finne ut om personopplysninger fra prosjektet skal deles med internasjonale institusjoner eller institusjoner som er etablert i land utenfor EU/EØS. Det kan f.eks. være tilfelle hvis prosjektet benytter leverandører av skytjenester, eller samarbeider med utenlandske forskere som skal bistå med analyser av data. Hvis personopplysninger deles utenfor EU/EØS, må dere ha eget rettslig grunnlag for denne overføringen.
Når du deler personopplysninger fra prosjektet som forklart over, er det viktig at du følger interne retningslinjer ved din institusjon. Institusjonen har gjerne rutiner både for å dokumentere prosjektmedarbeideres tilganger, for samarbeid med databehandlere og fellesansvarlige, og for overføringer til tredjeland. Institusjonen din har gjerne også lagringsguider, der du får vite hvilke IT-utstyr/-tjenester du kan bruke for å behandle typer opplysninger, og hvilke leverandører din institusjon allerede har databehandleravtale med (slik at du ikke trenger egen avtale for ditt prosjekt).
Hvis du er usikker, eller du ikke finner retningslinjer som gir svar på hvordan og med hvem du kan dele personopplysninger i ditt prosjekt, rådfør deg med personvernressurser ved din institusjon.