Bei der Erfassung und jeder nachträglichen Ergänzung von personenbezogenen Daten sollte der Anwender die Datenquelle und den Verwendungszweck der eingegebenen Werte miterfassen. Typische Datenquellen können eine Visitenkarte, das Impressum einer Website, ein öffentliches Verzeichnis u. v. m. sein.
Der Verwendungszweck ergibt sich typischerweise aus Ihrem Verarbeitungsverzeichnis, in dem Sie dokumentieren, für welchen Zweck Sie welche Daten erheben, wer darauf Zugriff hat, welche Löschfristen dafür gelten, inwiefern diese Daten an Dritte (z. B. Dienstleister) weitergegeben werden und was sonst noch wichtig sein könnte.
Ein typisches Beispiel ist 'E-Mail-Marketing':
1. Sie erfassen die E-Mail-Adresse.
2. Zusätzlich holen Sie auch eine Einwilligungserklärung der Person ein (Double Opt-in).
3. Sie löschen die E-Mail-Adresse automatisch 2 Jahre nach dem letzten Newsletter-Erhalt.
4. Sie geben ggf. nur dem Marketing-Team Zugriff auf das Feld.
5. Sie übertragen die E-Mail-Adresse dabei auch an ein externes Newslettertool, dessen Betreiber in der EU ansässig ist.