• Twitter Social Icon
  • LinkedIn Social Icon
  • Facebook Social Icon
  • Instagram Social Icon

Projekt: 2020 Michał Nosowski, Toruń. 

Wśród danych

Blog dla przedsiębiorców działających w cyfrowym świecie

  • Michał Nosowski

Co to jest minimalizacja danych?


W RODO wskazano, że jedną z zasad, jakie dotyczą przetwarzania danych osobowych, jest zasada minimalizacji. Administratorzy danych obawiają się, że stosowanie tej reguły będzie powodowało sporo problemów i wątpliwości. Trudności sprawia zwłaszcza „wyznaczenie granicy” pomiędzy działaniami, które wpisują się w realizację tej zasady, a takimi, które stanowią jej złamanie. Czym więc ona właściwie jest?

W obecnie obowiązującej ustawie o ochronie danych osobowych uregulowano, że dane osobowe powinny być przetwarzane przez administratora w sposób adekwatny w stosunku do celów w jakich zostały zebrane.

Przepis ten w przyszłości ulegnie jednak znacznemu doprecyzowaniu. Artykuł 5 ust. 1 lit c) RODO wskazuje bowiem, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Dodatkowo, motywy RODO podkreślają, że realizacja zasady minimalizacji wymaga w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

Kluczowe jest tu więc pojęcie celu, w jakim dane są przetwarzane. Każda organizacja musi sama zadać sobie pytanie – po co nam dane określonej osoby? Następnie (znając cel, w jakim te dane są wykorzystywane przez organizację, czyli odpowiadając, po co) można zastanowić się, jakie dane osobowe są nam potrzebne aby ten cel osiągnąć. I tu stosowane będą przesłanki adekwatności, stosowności oraz ograniczenia do tego, co niezbędne. Innymi słowy, nie możemy przetwarzać takich danych, które nie są adekwatne do celu, który ma być osiągnięty, nie są niezbędne do jego osiągnięcia, a ich wykorzystanie nie jest stosowne.

Przykładowo, zawierając z kimś umowę sprzedaży telefonu komórkowego za pośrednictwem sklepu internetowego na rzecz osoby fizycznej, przedsiębiorca może potrzebować takich danych jak imię, nazwisko, adres zamieszkania oraz nr PESEL, ewentualnie dodatkowe dane dotyczące dostawy i sposobu płatności. Nie jest już do tego konieczny np. wizerunek danej osoby, jego zawód albo imiona rodziców.

Skrajnym przykładem zbierania większej ilości danych niż potrzebne do wykonania umowy jest np. praktyka skanowania dowodów osobistych w momencie wypożyczania sprzętu wodnego podczas wakacji. Takie działania, mimo iż niezgodne z prawem, są niestety powszechną praktyką. Wraz z wprowadzeniem RODO dużo się mówi o tym, dlaczego dane osobowe są ważne i powinny być chronione. Co więcej, organy ochrony danych osobowych będą miały nowe narzędzia do wyegzekwowania przestrzegania przepisów. Możemy mieć więc nadzieję, że świadomość konsumentów w tym zakresie wzrośnie, a tym samym, wypożyczalnie sprzętu wodnego zaprzestaną takich praktyk.

W skrócie: zbieraj tylko te dane, które są Ci niezbędne.

#gdpr #rodo #zasadaminimalizacji #daneosobowe #bezpieczeństwo