Чтобы быть более конкретным, чем ответ от RulesFeed, вы спрашиваете о статье 6 GDPR ; В этом случае вы можете обоснованно утверждать, что обработка необходима «необходимо для исполнения договора, стороной которого является субъект данных, или для принятия мер по запросу субъекта данных до заключения договора». На момент представления субъект данных полностью контролирует, решат ли они предоставить вам свою информацию или нет. Однако было бы неплохо сказать в форме, что предоставленная ими информация не будет использоваться для каких-либо других целей (и, в идеале, как долго она будет храниться, где и т. Д.), Потому что что-то строго выходит за рамки цели расследование действительно требует согласия.
Согласие обычно применяется к необязательным вещам - например, к подписке на маркетинговые электронные письма при покупке чего-либо - когда дополнительная обработка не является обязательной для основной цели сбора данных. Согласие не должно использоваться без необходимости, потому что, в отличие от других основ для обработки, оно может быть в одностороннем порядке отозвано субъектом данных.
Другим фактором является то, что вы действуете как процессор данных; ваш клиент является контроллером данных, и они попросили вас обработать эти данные от их имени. В этой ситуации вы обязаны соблюдать правила защиты данных, применимые к процессорам (TLS, физическое местоположение и т. Д., И вы должны заключить соглашение об обработке данных с вашим клиентом, чтобы прояснить это), но данные принципиально не ваши. Субъект данных связан с контроллером, а не с вами как с процессором, поэтому именно ваш клиент должен быть осторожен со своими условиями и поведением. Не хранить какие-либо данные на ваших серверах - это очень хорошая идея; Вы не можете потерять контроль над данными, которых у вас нет.
Если данные, с которыми вы работаете, вообще чувствительны, вам следует провести оценку воздействия на защиту данных (DPIA) и / или оценку воздействия на конфиденциальность (PIA; по сути, то же самое, но с учетом более высоких уровней), что звучит зловеще и бюрократическим, но на самом деле довольно простым и часто довольно интересным занятием - CNIL (французское бюро защиты данных) имеет превосходное приложение PIA , которое проведет вас через весь процесс.