Zasada minimalizacji danych określa, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.
Przetwarzanie danych osobowych musi być zgodne z zasadami określonymi w Rozporządzeniu o Ochronie Danych Osobowych (RODO). Jedną z nich jest minimalizacja danych. RODO określa, że administrator powinien przetwarzać jedynie te dane osobowe, które są niezbędne dla realizacji celu przetwarzania. Co ważne, to zadaniem administratora danych jest ocena i analiza czy przetwarzane dane nie są nadmierne. Jeśli okaże się, że do osiągnięcia określonego celu zbieramy więcej danych niż potrzebujemy, będzie to sprzeczne z przepisami rozporządzenia.
Minimalizacja danych RODO
Minimalizacja danych RODO wyróżnia następujące elementy:
- minimalizacja ilości informacji,
- minimalizacja zakresu danych,
- minimalizacja sposobów i form przechowywania danych,
- minimalizacja dostępu do danych.
Sprawdź jak wdrożyć RODO w twojej organizacji
Minimalizacja danych RODO- czym dokładnie jest?
Zasada minimalizacji danych RODO związana jest z zasadą celowości. Motyw 39 RODO wskazuje, że minimalizacja danych powinna być realizowana poprzez przetwarzanie takiego zbioru danych, który jest adekwatny i niezbędny do celu, dla którego są one przetwarzane. Przykładowo firma telekomunikacyjna zawierające umowy na świadczenie usług telekomunikacyjnych, nie potrzebuje do tego zbierania danych w postaci wizerunku danej osoby.
Obowiązki administratora wynikające z minimalizacji danych
Minimalizacja danych osobowych w rozumieniu RODO dotyczy również maksymalnych terminów przetwarzania danych. Powinniśmy bowiem, jako administratorzy, zapewnić ograniczenie tego okresu przechowywania do ścisłego minimum. Administrator ma obowiązek wyznaczyć okresy retencji przechowywania określonych kategorii danych osobowych. Retencję należy rozumieć jako stworzenie takiej polityki, która określiłaby zasady i okresy usuwania danych osobowych zgodnie z celami administratora i przepisami prawa.
!Pamiętaj! Samo RODO nie określa terminów usuwania danych osobowych.
Minimalizacja danych w rozumieniu RODO ma także odniesienie do ograniczenia dostępu do danych. Zasada minimalizacji danych w tym kontekście ma swoje odzwierciedlenie w domyślnej ochronie danych, czyli Privacy by default. Jako administrator powinieneś zapewnić, że domyślnie będą przetwarzane tylko i wyłącznie te dane, które są niezbędne do osiągnięcia każdego konkretnego celu przetwarzania.
Wykorzystanie minimalizacji danych w praktyce
Ważnym elementem zasady minimalizacji jest także określenie dostępu do danych. Powinna opierać się ona na wprowadzeniu mechanizmów zabezpieczających przed atakami zewnętrznymi. Należy także tak zorganizować przetwarzanie wewnętrzne w organizacji, aby dostęp do określonych danych miały jedynie osoby, które są upoważnione do przetwarzania tej kategorii danych, w związku z wykonywanym przez nich zakresem obowiązków.
Podsumowanie
Nieodpowiednie stosowanie się do zasady minimalizacji danych przez administratora będzie problematyczne w przypadku składanych wniosków i żądań podmiotów danych. Nie można tutaj także wykluczyć kontroli organu nadzorczego.
Pamiętaj, że minimalizacji danych RODO, tak jak wszystkie zasady określone w art. 5 rozporządzenia, pełni szczególną rolę, a naruszenie przepisów w tym zakresie grozi wysoką karą finansową.