W RODO wskazano, że jedną z zasad, jakie dotyczą przetwarzania danych osobowych, jest zasada minimalizacji. Administratorzy danych obawiają się, że stosowanie tej reguły będzie powodowało sporo problemów i wątpliwości. Trudności sprawia zwłaszcza „wyznaczenie granicy” pomiędzy działaniami, które wpisują się w realizację tej zasady, a takimi, które stanowią jej złamanie.
Czym dokładnie jest zasada minimalizacji?
Artykuł 5 ust. 1 lit c) RODO wskazuje , że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Dodatkowo, motywy RODO podkreślają, że realizacja zasady minimalizacji wymaga w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.
Kluczowe jest tu więc pojęcie celu, w jakim dane są przetwarzane. Każda organizacja musi sama zadać sobie pytanie – po co nam dane określonej osoby? Następnie (znając cel, w jakim te dane są wykorzystywane przez organizację, czyli odpowiadając, po co) można zastanowić się, jakie dane osobowe są nam potrzebne aby ten cel osiągnąć. I tu stosowane będą przesłanki adekwatności, stosowności oraz ograniczenia do tego, co niezbędne. Innymi słowy, nie możemy przetwarzać takich danych, które nie są adekwatne do celu, który ma być osiągnięty, nie są niezbędne do jego osiągnięcia, a ich wykorzystanie nie jest stosowne.
Przykładowo, zawierając z kimś umowę sprzedaży telefonu komórkowego za pośrednictwem sklepu internetowego na rzecz osoby fizycznej, przedsiębiorca może potrzebować takich danych jak imię, nazwisko, adres zamieszkania oraz nr PESEL, ewentualnie dodatkowe dane dotyczące dostawy i sposobu płatności. Nie jest już do tego konieczny np. wizerunek danej osoby, jego zawód albo imiona rodziców.
Skrajnym przykładem zbierania większej ilości danych niż potrzebne do wykonania umowy jest np. praktyka skanowania dowodów osobistych w momencie wypożyczania sprzętu wodnego podczas wakacji. Takie działania, mimo iż niezgodne z prawem, są niestety powszechną praktyką. Wraz z wprowadzeniem RODO dużo się mówi o tym, dlaczego dane osobowe są ważne i powinny być chronione.
Co więcej, organy ochrony danych osobowych mają skuteczne narzędzia do wyegzekwowania przestrzegania przepisów. Możemy mieć więc nadzieję, że świadomość konsumentów w tym zakresie wzrośnie, a tym samym, wypożyczalnie sprzętu wodnego zaprzestaną takich praktyk.
W skrócie: zbieraj tylko te dane, które są Ci niezbędne.
Jeśli masz jakieś dodatkowe pytania dotyczące zasady minimalizacji, możesz śmiało się ze mną skontaktować, pisząc na kontakt@bytelaw.pl, albo korzystając z formularza kontaktowego tutaj.