Kontaktoplysninger om enkeltpersoner behandles i vid udstrækning. En kundeprofil i en webshop, leveringsadresse, kundeserviceanmodning og mange andre behandlinger kræver navnet på en enkeltperson.
Navne er mere end blot sekvenser af tegn
Et automatisk system, der modtager og opbevarer kundeklager, kan behandle kundenavne som tilfældige tegn og kontrollere dem for længde, store bogstaver og specialtegn. En medarbejder, der behandler kundeklager eller vælger jobkandidater til en samtale, kan være mere opmærksom. De fleste manuelle behandlingsaktiviteter udføres af personer, der er godt klar over forskellige etniske grupper og ikke nødvendigvis er neutrale.
Tænk på 'Bram de Jong', 'Krzysztof Wiśniewski' eller 'Heiner Schneider' (navnene er taget fra en liste over de mest populære navne, og enhver lighed med virkelige personer er rent tilfældig). Ville du forvente, at de var hollandske, polske og tyske, henholdsvis, og alle mænd?
Skal jeg bekymre mig?
I henhold til DBF A. 9 (1) 'Behandling af personoplysninger, der afslører ... etnisk oprindelse ... er forbudt'. Yderligere samtykke er påkrævet (eller nødvendigheden af at overholde en juridisk forpligtelse inden for beskæftigelse), og der er behov for yderligere sikkerhedsforanstaltninger, såsom at gennemføre en VDP.
I de fleste situationer kan du behandle navne som neutrale tegn, og de fleste virksomheder gør det. I størstedelen af behandlingsaktiviteterne behandles navnene ikke på en måde, der afslører etniske identiteter. Tænk på at tage onlinebestillinger, der behandles automatisk og ensartet, hvor kundenavne bevæger sig mellem systemer og etiketter uden nogen analyse.
Men du skal være opmærksom på de (normalt manuelle) aktiviteter, hvor den opfattede etniske oprindelse kan tages i betragtning. Som ansvarlig for disse aktiviteter er du ansvarlig for at identificere og vurdere risiciene samt tage passende risikoreducerende foranstaltninger. Du er også forpligtet til at tage passende foranstaltninger for at minimere behandlingen af personoplysninger.
Hvad skal man gøre?
Husk dette, når du opbygger registre over behandlingsaktiviteter (FBA) og vurderer risiciene ved hver aktivitet. Se især på:
- Forsøg på at analysere, gruppere eller på anden måde behandle navne ved hjælp af automatiske systemer, da dette kan føre til behandling af etnisk oprindelse eller profilering.
- Manuelle operationer, hvor der forventes visse spændinger, såsom kundesamtaler eller udvælgelse af personer (rekruttering, bolig osv.)
- Flersprogede, internationale eller outsourcede (manuelle) operationer (rejser, callcentre), hvor medarbejdere kan have kontakt med internationale kunder og gruppere dem mentalt.
Behandlingen er ofte ikke eksplicit, og der oprettes ikke noget databasefelt kaldet 'etnicitet'. Men forskellige etnicitetsspecifikke kommentarer efterlades ofte i chats, e-mails og andre dokumenter. Disse afslører den behandling, der finder sted, og har allerede resulteret i korrigerende foranstaltninger fra domstole og myndigheder.
Fra perspektivet af DBF (GDPR) overholdelsesdokumentation er det for de fleste operationer stadig acceptabelt og i overensstemmelse med reglerne at bruge kategorien personoplysninger 'kontaktoplysninger', der repræsenterer navne, sammen med adresser, e-mails, telefonnumre og andre måder at kontakte dem på. Mange virksomheder udfører kun en eller to behandlingsaktiviteter, hvor navne faktisk bliver set på.
Det er mere i overensstemmelse med reglerne at opdele kategorien 'kontaktoplysninger' i en kategori for navngivende data (navne, e-mails, sociale medieprofiler og andre kontaktoptegnelser, der kan afsløre navnet) og en anden kategori for navnløse kontaktoplysninger (fysiske adresser, telefonnumre). Dette vil hjælpe med at dokumentere behandlingsaktiviteter, tilknyttede risici og dine bestræbelser på at minimere behandlingen af personoplysninger i overensstemmelse med 'dataminimerings'-princippet i DBF (DBF A. 5 (c)).
Du vil måske også overveje at gennemføre en Vurdering af Databeskyttelsens Indvirkning (VDP) for aktiviteter, hvor navne behandles. At gennemføre VDP, uanset resultatet, er et bevis på overholdelse i sig selv.
Vi kan hjælpe med disse opgaver som en del af PrivacyDocs DBF-rådgivningstjenester.