Z artykułu dowiesz się jak rozumieć zasadę minimalizacji danych oraz w jaki sposób należy dokonywać analizy poprawności jej realizacji
Jedną z podstawowych zasad przetwarzania danych osobowych (artykuł 5 RODO) jest zapewnienie minimalizacji danych. Zgodnie z tą zasadą dane muszą być adekwatne, stosowne oraz ograniczone do tego, co jest niezbędne do określonych celów przetwarzania. Co to w praktyce oznacza?
Administrator danych na etapie planowania przetwarzania danych osobowych (realizacja zasady Privacy by design) lub dokonując przeglądu procesów przetwarzania danych osobowych powinien ustalić czy:
poszczególne kategorie danych osobowych odpowiadają / zgadzają się z określonym celemprzetwarzania (adekwatność),
zakres danych osobowych jest wystarczającyi najbardziej odpowiedni, aby właściwie zrealizować te cele (stosowność),
zakres danych osobowych jest faktycznie w całości konieczny dla realizacji planowanych celów przetwarzania (ograniczenie do tego co jest niezbędne).
Stosowanie zasady określonej w art. 5 ust. 1 lit. c RODO literalnie, jedynie w rozumieniu jej skrótowego określenia: „minimalizacji danych”, zgodnie ze wskazaniem WSA w Warszawie (orzeczenie z dnia 7 lipca 2020 r. II SA/Wa 809/20), „nie do końca odpowiada jej istocie i może być powodem restrykcyjnej interpretacji, prowadzącej do różnorodnych wątpliwości i problemów”.
Dalej w przywołanym orzeczeniu WSA wskazał: „starając się literalnie odczytać wymogi adekwatności i minimalizacji, można dojść do wniosku, że w praktyce nie jest łatwo je ze sobą pogodzić, albowiem adekwatność zakłada dokonanie oceny przydatności określonego rodzaju danych do realizacji celu, natomiast minimalizacja prowadzi do uznania, że jeśli cel można osiągnąć bez przetwarzania określonego rodzaju danych, to nie należy takich danych przetwarzać.
Wojewódzki Sąd Administracyjny w Warszawie, rozstrzygając w przywołanej sprawie, stwierdził jednak, (…) że można pogodzić ze sobą te dwa nie do końca spójne wymogi, uznając, że ich spełnienie należy oceniać łącznie, co w konsekwencji oznacza, że nie powinno się przyznawać prymatu minimalizacji kosztem adekwatności. W tej sytuacji, Sąd stwierdził, że za dopuszczalne uznać należy przetwarzanie danych w nieco szerszym zakresie, niż tylko – jak przyjął Prezes UODO – konieczne minimum, pod warunkiem, że przetwarzane dane mają ścisły związek z realizacją celu (np. ułatwiają jego osiągnięcie).”
Na administratorze ciąży obowiązek przestrzegania zasady „minimalizacji danych”, o ile planuje on realizować przetwarzanie danych osobowych, do którego będą miały zastosowanie przepisy RODO (przeczytaj więcej o tym, kiedy przepisy RODO nie będą obowiązywały). Przetwarzanie może wynikać z celów biznesowych lub z potrzeby realizacji obowiązków wynikających z przepisów prawa. W tym drugim przypadku najczęściej zakres danych będzie regulowany zapisem w określonej ustawie czy rozporządzeniu (np. Kodeks Pracy w art. 221 definiuje dokładny zakres danych wymagany do pobrania przez pracodawcę).
Natomiast w przypadku celów przetwarzania nieokreślonych w przepisach prawa sprawa może nie być już taka prosta. Przetwarzanie danych dla potrzeb realizacji umowy zawieranej z klientem wymagać będzie od administratora dokonania analizy kontekstu przetwarzania danych i skonfrontowania jej wyników z wymaganiami zasady „minimalizacji danych”.
Jednakże należy mieć na uwadze, iż wspomniana analiza powinna być przeprowadzana rzetelnie i administrator powinien liczyć się z tym, iż jej wyniki mogą zostać podważone przez organ nadzorczy. Tak jak to miało miejsce w przypadku szkoły podstawowej, która przetwarzała dane biometryczne swoich uczniów w procesie wydawania dla nich posiłków (uczniowie odciskiem palca potwierdzali posiadanie uprawnienia do otrzymania posiłku). Sprawa dla szkoły najprawdopodobniej zakończy się szczęśliwie, gdyż w przywołanym wcześniej orzeczeniu z 7 lipca 2020 r. Wojewódzki Sąd Administracyjny uchylił zaskarżoną decyzję.
Jak mogę się upewnić, że jako administrator lub procesor nie łamię zasady „minimalizacji danych”?
Dla lepszego zrozumienia zasady minimalizacji danych, możemy posłużyć się kilkoma przykładami przetwarzania:
Cel przetwarzania | Niezbędny zakres danych | Podstawa przetwarzania |
Usługa dostawy jedzenia | Imię, adres dostawy, nr telefonu | Umowa |
Usługa medyczna | Imię, nazwisko, PESEL, historia choroby i leczenia pacjenta | Przepisy prawa |
Przesłanie formularza kontaktowego | Imię, nazwisko, adres e-mail | Zgoda |
Usługa newsletteru | Adres email | Zgoda |
Analizując powyższe przykłady możemy dojść do wniosku, że dane, które są zbierane dla realizacji poszczególnych celów spełniają wymagania art. 5 ust. 1 lit. c RODO, gdyż są adekwatne, stosowne i niezbędne.
W praktyce naruszenia omawianej zasady w dużej mierze będą mogły zostać w oczywisty sposób wykryte (o ile osoba przeprowadzająca ocenę uzbroi się w logiczne myślenie i zdrowy rozsądek). Jeżeli którakolwiek z kategorii danych jest zbierana pomimo problemów z ustaleniem faktycznej jej roli w procesie przetwarzania to wysoce prawdopodobne jest naruszenie zasady „minimalizacji danych”. Na przykład:
potencjalny klient wypełniający formularz kontaktowy zobowiązany jest do udostępnienia swojego adresu zamieszkania, pomimo tego, że wcale te dane nie są potrzebne administratorowi (przynajmniej jeszcze nie na etapie zapytań elektronicznych);
przy podpisywaniu umowy administrator wymaga od osoby fizycznej dla potwierdzenia jego tożsamości udostępniania danych oprócz nr PESEL również dane dotyczące dowodu osobistego (dla identyfikacji strony umowy wystarczy nr PESEL).
Z drugiej jednak strony, pojawić się mogą mniej oczywiste przypadki, w których ocena spełniania wymagań art. 5 ust. 1 lit. c RODO będzie nie lada wyzwaniem. Będą to zwłaszcza sytuacje, w których wszystkie kategorie danych będą wydawać się stosowne i adekwatne, ale przesłanka niezbędności będzie zagrożona.
Załóżmy, że administrator mógłby zrealizować zbliżony cel przetwarzania przy wykorzystaniu węższego zakresu danych, ale jego ograniczenie skutkowałoby spadkiem jakości świadczonej usługi, trudnościami w realizacji celu przetwarzania lub zwiększeniem kosztów. Czy w takiej sytuacji administrator, w związku z negatywnymi konsekwencjami, powinien za wszelką cenę dążyć do ograniczenia zakresu danych osobowych? W takich przypadkach, można pozostawić to ocenie i wprowadzić dobrowolność podania niektórych kategorii danych (odróżnić dane konieczne do podania od dobrowolnych), ze wskazaniem konsekwencji ich braku w procesie przetwarzania.
Na koniec warto spojrzeć na omawiane zagadnienie z perspektywy osoby, której dane dotyczą. W Internecie pozostawiamy ślad po wielu naszych aktywnościach, wypełniamy setki formularzy rejestracyjnych, zamawiamy co raz to nowe usługi. Jeśli mamy jakąkolwiek wątpliwość co do zakresu danych, których żąda administrator, to nie zaszkodzi go o to zapytać. Przed złożeniem skargi do UODO – zachęcamy najpierw do kontaktu z administratorem w celu otrzymania wyjaśnień. Ostatecznie to my jako odbiorcy usług decydujemy czy chcemy przekazać konkretne dane. Być może w drodze negocjacji uda się uzgodnić z administratorem mniej inwazyjny zakres danych do przekazania. 😊