Zasada minimalizacji danych w RODO

BySylwia Ostrowska

zasada minimalizacji

Dla każdego Administratora już bardzo dobrze znane są zapewne zasady, które trzeba uwzględnić przy przetwarzaniu danych osobowych (art. 5 RODO). Żeby zgodnie i prawnie przetwarzać dane osobowe należy również wiedzieć na czym polega zasada minimalizacji danych, a także jakie obowiązki nakłada na Administratorów.

Minimalizacja danych

Zasada minimalizacji danych oznacza, że przetwarzane dane osobowe są adekwatne, ograniczone, stosowne oraz niezbędne do celów, w których są przetwarzane. Chodzi więc o to, iż administrator musi zapewnić ograniczenie zakresu przetwarzanych danych do minimum. Administrator przetwarza tylko te dane, które bezpośrednio pozwolą mu na osiągnięcie celu, w którym je pozyskał. Pozyskiwane dane muszą pozostawać w bezpośredniej relacji z celem, dla którego są zbierane. Administrator nie ma prawa zbierać danych, które nie są mu potrzebne do osiągnięcia danego celu.

Zasada minimalizacji – obowiązki administratora

W związku z zasadą minimalizacji danych administrator ma obowiązek nie tylko ustalenia zakresu niezbędnych danych do osiągnięcia celu. Także musi poddać te dane analizie, aby wyeliminować dane nadmiarowe, które nie są potrzebne w konkretnym procesie przetwarzania. Administrator musi wyeliminować także możliwość pozyskiwania danych osobowych nie prowadzących do osiągnięcia celów przetwarzania, dotyczy to zbierania danych osobowych np. „na wszelki wypadek”.

Realizacja zasady minimalizacji

By prawidłowo wykonać zasadę minimalizacji danych przy ich przetwarzaniu, administrator musi określić, co będzie przetwarzał. Jakie dane do tego będą mu potrzebne, a także czy każda z nich jest niezbędna do osiągnięcia wyznaczonego celu.

Np. w przypadku przetwarzania danych osobowych w celu zamówienia newslettera zakres danych niekiedy obejmował: imię, nazwisko, numer telefonu, adres e-mail, analiza celów przetwarzania danych:

  • imię i nazwisko – podanie tych danych osobowych nie jest konieczne do otrzymywania newslettera, ponieważ do otrzymania newslettera wystarczy adres e-mail, odbiorca newslettera nie musi być spersonalizowany (chociaż spotyka się praktykę pozyskiwania imienia w tym celu)
  • numer telefonu – nie jest konieczny do otrzymywania newslettera, ponieważ newsletter nie jest kierowany na numer telefonu, tylko na adres poczty elektronicznej,
  • adres e-mail – jest niezbędny do otrzymywania newslettera, ponieważ na ten kanał komunikacji kieruje się informacje zawarte w newsletterze,

W tym przypadku zakres danych osobowych przetwarzanych w celu otrzymywania newslettera powinno się ograniczyć do adresu e-mail. Za nadmiarowe należy uznać numer telefonu, imię i nazwisko.

Niewłaściwa realizacja zasady

Przejawem naruszenia zasady minimalizacji danych jest gromadzenie kopii dokumentów, które w istocie są zbędne do osiągnięcia celu przetwarzania. Zasada minimalizacji danych stanowi bodaj największe wyzwanie dla podmiotów przetwarzających dane osobowe zarówno w sektorze prywatnym, jak i publicznym. Jednostki publiczne mając tendencję do zbierania jak największej ilości danych osobowych, mogą nieświadomie wkroczyć w sferę życia prywatnego osób fizycznych. Najprostszą formą pokazującą naruszenie „zasady minimalizacji” danych jest przykład podpisywania umowy.  Administrator wymaga od osoby fizycznej dla potwierdzenia jego tożsamości udostępnienia danych. Oprócz nr PESEL również dane dotyczące dowodu osobistego (dla identyfikacji strony umowy wystarczy nr PESEL). Występuje tu nadmiarowość zbierania danych do osiągnięcia danego celu jakim jest potwierdzenie tożsamości.

Podsumowanie

Zasada minimalizacji danych wyklucza możliwość pozyskiwania i przechowywania danych nadmiarowych, czyli niekoniecznych dla realizacji wyznaczonych, zgodnych z prawem celów, np. związanych z zatrudnianiem pracowników. Pracodawca nie powinien zatem żądać ani przyjmować od kandydatów do pracy i pracowników danych nadmiarowych. W przypadku ich otrzymania, powinien je niezwłocznie usunąć.