Sharing Access

[Some Case]

Привет!
Возник вопрос по ограничению доступа для профиля (роли).
Обычно можно полностью ограничить доступ ко всем записям в каком либо модуле, и дать отдельные права на просмотр записей принадлежащих роли/роли+подчиненным/группе.
Меня интересует есть ли возможность дать права на просмотр всех записей созданных одной группой, даже если поменялся ответственный.

Пример: у меня есть пользователь Vasea, с профилем TestProfile1. Он не может видеть контакты, ответственным за которые назначен администратор. Vasea создает еще один контакт, а затем администратор назначает себя самого ответственным за этот контакт (нагло забирает этот контакт у Васи :) ).
Однако, поскольку Vasea сам создал этот контакт, он продолжает видеть всю информацию о нём, не смотря на противоправные действия администратора :)

Надеюсь на вашу помощь, самостоятельный поиск пока что ничего не дал, а вещь ой как нужна..