10 стъпки за осигуряване спазването на GDPR при комуникация с клиенти

Правилното общуване ще спести на двете страни време и пари

Пресечната точка между връзките с обществеността и законодателството за защита на личните данни е в правилната комуникация. За съжаление все по-често се сблъсквам с неадекватно поведение на администратори на лични данни, които не си дават сметка, че стилът на общуването е важен.

Не е случайност, че общият регламент – GDPR, поставя прозрачността като основен принцип. Вижте текстовете на чл. 13, 14,15 – 22, 34. Нима една компания не трябва да работи по този начин и да го няма GDPR? Нима администраторът на лични данни не е длъжен да уважава моите човешки права независимо дали е в Европа или не?

Да вземем например британското ръководство за това какво правим, ако сме администратор на лични данни – неправителствена организация, фирма или ведомство и гражданин поиска копие от съхраняваната за него информация.

Това са и 10 стъпки за ефективна комуникация. Ето защо:

Първата стъпка, казва ICO, е организацията да е определила човекът, който ще общува. Определете говорител, казват добрите практики в комуникациите.

Втора стъпка – уверете се с кого говорите. Ако някой получи чужди лични данни, това е наказуемо. Това правило в комуникационен превод означава познавайте този, с когото разговаряте. И в пряк, и в преносен смисъл.

Британският съвет е много ценен – няма смисъл да настоявате за документ за самоличност със снимка, ако не знаете как изглежда заявителят.

Третата стъпка е свързана с адекватна реакция при упълномощаване. Българският съвет е – не искайте нотариална заверка на пълномощното. Но можете да проверите дали наистина адвокатът е упълномощен, казват британците. И добавят интересен нюанс – „ако родители или настойник поискат лични данни за 12-годишно дете, обикновено първо трябва да получите разрешение от детето“.

Британският подход при четвъртата стъпка е впечатляващ при определянето на срока за отговор от един календарен месец:

  1. Няма значение дали денят, в който получите заявката, не е работен. Например, ако получите заявка в събота, 7 март, трябва да отговорите до вторник, 7 април.
  2. Ако датата на крайния срок се пада в почивен ден или на официален празник, имате време да отговорите до следващия работен ден. Например, ако получите заявка на 25 ноември, трябва да отговорите до 27 декември.
  3. Не можете да добавяте допълнителни дни, когато календарният месец е по-кратък. Например, ако получите заявка на 31 януари, трябва да отговорите до 28 февруари.

И най-важният съвет – да се заложи напомняне за отговор в рамките на 28 дни. По този начин винаги ще сте навреме, независимо от месеца.

Особено е важно преди изтичането на едномесечния срок да уведомите заявителя, че ще има забавяне на отговора при обемни и сложни отговори.

И в комуникациите и в защитата на личните данни е важно да сте сигурни в това, какво точно ви питат. Дали за „всичко, което имате“ или „само данни, свързани с едно конкретно нещо. Може дори да могат да ви дадат съвет как да го намерите. Добре е да ги попитате. Това може да ви спести известно време и на двамата.“  Британският съвет е безценен!

Стъпка шеста: Keep looking until you’re satisfied there’s nowhere else to look. Това естествено се преподава и на журналисти, и на PR експерти – търсете навсякъде. За да намерите информация, свързана с лицето, може да се наложи да мислите творчески за всички места, където тази информация може да се съхранява. В зависимост от начина, по който управлявате бизнеса си, може да се наложи да проверите външни твърди дискове, таблети, преносима памет, гласови записи, публикации в социалните мрежи и файлове за видеонаблюдение.

Стъпка седма: Проверете дали е премахната информация за трети лица – например в имейл. Или дали не сте оставили текст от предишен отговор. Затова винаги създавайте нов файл. Иначе може някой да възстанови текста.

Осмата стъпка е достойна за отделна статия: Consider the impact of releasing data about other people

Да преценявате въздействието на информацията е важно умение в бизнеса. Ето примера на ICO: Например, Самира иска трудовото си досие. В него има жалба на колега. Въпреки че информацията в жалбата е за Самира, ако й я предоставите, тя може да идентифицира Том. Трябва да прецените правото на Самира на нейните лични данни, срещу даването на информация за Том без уважителна причина.

Тук има три възможности:

  1. Ако Самира знае всичко за жалбата, какво е казано и кой го е казал; можете да й дадете информацията такава, каквато е, без да редактирате данните на Том.
  2. Ако Самира не знае за жалбата и не предполага, че е от Том, можете да предоставите подробности за жалбата, но да редактирате името на Том или друга идентифицираща информация.
  3. Ако Самира не знае за жалбата, но би предположил, че тя идва от Том, независимо дали данните му са редактирани или не; може да се наложи да прецените дали е необходимо да получите съгласието на Том.

Да се намери балансът между това Самира да получи данните, на които има право, и да не се разкрива самоличността на Том, ако не се налага.

Ако смятате, че предоставянето на информацията на Самира може да означава, че това би имало отрицателно въздействие върху Том, тогава можете да помислите за пълното спиране на тази информация. Ако направите това, трябва да отбележите защо.

Деветата и десетата са съвсем комуникационни стъпки – проверете как иска да получи отговора  го подгответе. След това го проверете. А след като го проверите, го изпратете заедно с допълнителна информация. В случая – с политиката за поверителност. Така ще отговорите на потенциални въпроси защо пазите техни данни, как сте ги получили, колко дълго планирате да ги съхранявате, с кого ги споделяте и как могат да поискат промяната им (като например актуализиране на адреса) или изтриване.

Уверете се, че съхранявате датирани записи на информацията, която изпращате, тъй като може да се наложи да се обърнете към нея отново, например ако не са доволни от отговора ви или направят нова заявка скоро след това, завършват съветите.

Можете да споделите: