Неделна разходна 4: GDPR и списъците с контакти

Най-голямото богатство на една PR агенция са нейните контактни списъци.

Затова управлението им се превръща в най-голямото предизвикателство, когато става дума за защита на личните данни

Като консултант зная, че авторитетният институционален глас от чужбина се чува много по-добре от изговореното на познат човек. Затова няма да говоря аз за управлението на списъците с контакти, а ще цитирам една от водещите институции в света.

Европейският надзорен орган по защита на данните EDPS публикува в януарския си бюлетин някои съвети за управлението на списъци с контакти. Ето какво се казва в публикацията:

От съществено значение е институциите на ЕС да си взаимодействат пряко с широкия свят. Чрез редица канали институциите на ЕС взаимодействат с гражданите на ЕС, съответните заинтересовани страни, служителите на ЕС и др.

Независимо от това, списъците с контакти съдържат много лични данни и затова те трябва да са в съответствие с правилата за защита на данните. Ако институция на ЕС съхранява данни за контакт, събрани за различни цели, в една отделна база данни, това не означава, че данните могат да бъдат използвани за всякакви цели.

Всъщност един от най-важните ръководни принципи при защитата на личните данни е този за ограничаване на целта. Той защитава хората чрез определяне на ограничения за това как администраторите на данни могат да използват техните данни.

Концепцията има два градивни елемента: първо, личните данни трябва да се събират за определена, изрична и законна цел, и второ, не трябва да се обработват отново по-късно по начин, несъвместим с първоначалната цел. Този принцип е свързан и с честността: целите трябва да бъдат ясно определени, така че засегнатите да знаят какво да очакват.

Например, вземането на данни за контакт на колега, работещ в различна институция на ЕС, с цел проследяване на конкретен въпрос, не означава разрешение за добавяне на този човек в списъка за изпращане на вашия институционален бюлетин. Първоначалната цел за събиране на лични данни определя обхвата на това как тези лични данни могат да бъдат използвани. Например, за изпращане на бюлетин по имейл, е нужно изрично съгласие чрез  регистрация за получаването му.

Не всяка допълнителна обработка е несъвместима, но промените в предназначението трябва да се оценяват за всеки отделен случай. Трябва да вземат предвид:

– връзката между целите на предишно събиране на данни и целите на по-нататъшната обработка;

– контекстът, в който са събрани данните, и разумните очаквания на заинтересованите лица относно по-нататъшното им използване;

– естеството на данните и бъдещото въздействие върху засегнатите лица

– предпазните мерки, прилагани за гарантиране на почтена обработка и за предотвратяване на неправомерно въздействие.

Повече информация за този четирифакторен тест може да бъде намерена в становището на работната група по член 29 (WP29) относно ограничението на целта.

Можете да споделите: