Kontaktuppgifter för individer behandlas i stor utsträckning. En kundprofil i en webbshop, leveransadress, kundtjänstförfrågan och många andra behandlingar kräver namnet på en individ.
Namn är mer än bara teckenföljder
Ett automatiskt system som tar emot och lagrar kundklagomål kan behandla kundernas namn som slumpmässiga tecken, och kontrollera dem för längd, versaler och specialtecken. En anställd som hanterar kundklagomål eller väljer kandidater för en intervju kan vara mer vaksam. De flesta manuella bearbetningsaktiviteter utförs av individer som är väl medvetna om olika etniska grupper och inte nödvändigtvis är neutrala.
Tänk på 'Bram de Jong', 'Krzysztof Wiśniewski' eller 'Heiner Schneider' (namnen är hämtade från en lista över de mest populära namnen, och alla likheter med verkliga personer är helt tillfälliga). Skulle du förvänta dig att de är nederländska, polska och tyska, respektive, och alla manliga?
Bör jag bry mig?
Enligt DSF A. 9 (1) 'Behandling av personuppgifter som avslöjar ... etniskt ursprung ... är förbjuden'. Ytterligare samtycke krävs (eller nödvändigheten av att följa en rättslig skyldighet inom anställningsområdet), och ytterligare skyddsåtgärder behövs, såsom att genomföra en KBD.
I de flesta situationer kan du behandla namn som neutrala tecken, och de flesta företag gör så. I majoriteten av behandlingsaktiviteterna bearbetas namnen inte på ett sätt som avslöjar etniska identiteter. Tänk på att ta emot onlinebeställningar som behandlas automatiskt och enhetligt, där kundernas namn rör sig mellan system och etiketter utan någon analys.
Men du måste vara uppmärksam på de (vanligtvis manuella) aktiviteter där uppfattad etnisk härkomst kan beaktas. Som ansvarig för dessa aktiviteter är du ansvarig för att identifiera och bedöma riskerna samt vidta lämpliga åtgärder för att mildra riskerna. Du är också skyldig att vidta lämpliga åtgärder för att minimera behandling av personuppgifter.
Vad ska man göra?
Tänk på detta när du bygger register över behandlingsaktiviteter (RBA) och bedömer riskerna för varje aktivitet. Titta särskilt på:
- Försök att analysera, gruppera eller på annat sätt bearbeta namn med automatiska system, eftersom detta kan leda till behandling av etniska ursprung eller profilering.
- Manuella operationer där vissa spänningar förväntas, såsom kundsamtal eller urval av personer (rekrytering, bostad, etc.)
- Flerspråkiga, internationella eller outsourcade (manuella) operationer (resor, callcenter) där anställda kan hantera internationella kunder och gruppera dem mentalt.
Behandlingen är ofta inte uttrycklig, och inget databasfält som kallas 'etnicitet' skapas. Men olika etnicitetsspecifika kommentarer lämnas ofta i chattar, e-post och andra dokument. Dessa avslöjar den pågående behandlingen och har redan resulterat i korrigerande åtgärder från domstolar och myndigheter.
Ur perspektivet av DSF (GDPR) efterlevnadsdokumentation är det för de flesta operationer fortfarande acceptabelt och förenligt att använda kategorin personuppgifter 'kontaktuppgifter' som representerar namn, tillsammans med adresser, e-post, telefonnummer och andra sätt att kontakta dem. Många företag genomför bara en eller två behandlingsaktiviteter där namn faktiskt granskas.
Det är mer förenligt att dela upp kategorin 'kontaktuppgifter' i en kategori för namnupplysande data (namn, e-postadresser, profiler på sociala medier och andra kontaktregister som kan avslöja namnet) och en annan kategori för namnlösa kontaktuppgifter (fysiska adresser, telefonnummer). Detta kommer att hjälpa till att dokumentera behandlingsaktiviteter, associerade risker och dina ansträngningar för att minimera behandling av personuppgifter, i enlighet med principen om 'dataminimering' i DSF (DSF A. 5 (c)).
Du kanske också vill genomföra en Dataskyddsbedömning (KBD) för aktiviteter där namn behandlas. Genomförandet av KBD, oavsett resultat, är ett bevis på efterlevnad i sig.
Vi kan hjälpa till med dessa uppgifter som en del av PrivacyDocs DSF-konsulttjänster.