LexDigital

Zasada minimalizacji danych

Zbieranie i przetwarzanie danych osobowych nigdy nie powinno wykraczać poza cel przetwarzania. Stosując zasady określone w RODO, Administrator nie powinien zbierać danych, które nie są związane z celem przetwarzania lub które do tego przetwarzania nie są potrzebne. Dotyczy to również zakresu i ilości przetwarzanych danych w odniesieniu do poszczególnych czynności przetwarzania.

Zasada minimalizacji danych

Z tego artykułu dowiesz się:

  • co to jest zasada minimalizacji danych;
  • jakie są obowiązki podmiotu przetwarzającego dane w zakresie minimalizacji danych;
  • jak w praktyce przestrzegać zasady minimalizacji danych i nie narazić się na zarzuty przetwarzania niezgodnego z prawem.

Co to jest zasada minimalizacji danych

Zasady dotyczące przetwarzania danych osobowych zostały określone w art. 5 RODO. Jedną z nich, wskazaną w ust. 1 lit. c, jest zasada minimalizacji, która stanowi, że dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, dla których są przetwarzane.

privacy policy, it, computer

Dodatkowo, kwestie minimalizacji danych zostały opisane w motywach RODO, między innymi w motywie 39:

"Wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dla osób fizycznych powinno być przejrzyste, że dotyczące ich dane osobowe są zbierane, wykorzystywane, przeglądane lub w inny sposób przetwarzane oraz w jakim stopniu te dane osobowe są lub będą przetwarzane.

Zasada przejrzystości wymaga, by wszelkie informacje i wszelkie komunikaty związane z przetwarzaniem tych danych osobowych były łatwo dostępne, zrozumiałe oraz sformułowane jasnym i prostym językiem. Zasada ta dotyczy w szczególności informowania osób, których dane dotyczą, o tożsamości administratora, celach przetwarzania oraz innych informacji mających zapewnić rzetelność i przejrzystość przetwarzania w stosunku do osób, których sprawa dotyczy, a także prawa takich osób do uzyskania potwierdzenia i informacji o przetwarzanych danych osobowych ich dotyczących.

Osobom fizycznym należy uświadomić ryzyka, zasady, zabezpieczenia i prawa związane z przetwarzaniem danych osobowych oraz sposoby wykonywania praw przysługujących im w związku z takim przetwarzaniem. W szczególności konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania.

Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami.

cabinet, data, drawers

Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe.

Dane osobowe powinny być przetwarzane w sposób zapewniający im odpowiednie bezpieczeństwo i odpowiednią poufność, w tym ochronę przed nieuprawnionym dostępem do nich i do sprzętu służącego ich przetwarzaniu oraz przed nieuprawnionym korzystaniem z tych danych i z tego sprzętu."

W skrócie, zasada minimalizacji danych w procesie ochrony danych osobowych mówi nam:

Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Ponadto zasada minimalizacji danych wymaga w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum.

it, server, server cabinet

Zasada minimalizacji danych powinna być traktowana jako jedna z podstawowych wytycznych, które podmiot przetwarzający dane powinien uwzględniać przy wdrażaniu procedur privacy by design (uwzględnianie ochrony danych w fazie projektowania) oraz privacy by default (domyślnej ochrony danych osobowych).

Ważne jest, aby domyślnie przetwarzaniu podlegały tylko były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia konkretnego celu przetwarzania. Obowiązek ten powinien być spełniony zarówno w odniesieniu do ilości zbieranych danych osobowych, jak i zakresu ich przetwarzania czy okresu ich przechowywania oraz ich dostępności.

browser, icon, internet

Obowiązki administratora danych w związku z art. 5 ust. 1 lit. c RODO

Administrator danych (ADO) jest zobowiązany do dokonania analizy, czy zakres, kategorie danych, ilość danych są adekwatne do celu, dla którego te dane przetwarza.

ADO, w wyniku takiej analizy powinien zatem wyeliminować wszystkie te dane, które nie są niezbędne do osiągnięcia celu, dla którego są przetwarzane. I tak np. zbieranie takich danych jak imię i nazwisko nie jest niezbędne do świadczenia usługi newslettera. Cel, polegający na wysyłce newslettera może być osiągnięty z wykorzystaniem jedynie adresu e-mail, zatem imię i nazwisko stanowiłyby nadmiarowe dane w tym procesie.

W niektórych procesach przetwarzania pomocne mogą być przepisy prawa i tak np. w zakresie pobierania danych od kandydatów do pracy czy pracowników, katalog dozwolonych do przetwarzania danych został wskazany wprost w Kodeksie pracy.

Zasada minimalizacji danych odnosi się również do okresu ich przetwarzania — powinien on być ograniczony do ścisłego minimum. Pomocne w tym obszarze może być wdrożenie odpowiednich polityk czy procedur regulujących zasady ustalania czasu retencji danych w poszczególnych procesach przetwarzania danych osobowych.

board, electronics, computer

Zasada minimalizacji danych w praktyce

Aby pozostać w zgodzie z obowiązującymi przepisami każdy Administrator danych powinien rzetelnie przeanalizować, czy przetwarzane przez niego dane są adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane.

W wyniku takiej analizy Administrator powinien wyeliminować te dane, które nie są niezbędne do zrealizowania celu, np. zawierając umowę nie powinien pobierać od Strony umowy łącznie numeru PESEL i numeru dowodu osobistego, ponieważ tylko jedna z tych danych jest całkowicie wystarczająca dla jednoznacznej identyfikacji osoby fizycznej.

Innym przykładem nadmiarowości może być zbieranie zgód na przetwarzanie danych, w przypadkach w których nie jest to konieczne, bo przesłanką legalizującą przetwarzanie jest np. przepis prawa.

file, icon, web

Zasada rozliczalności

Zasada minimalizacji danych nierozerwalnie wiąże się z zasadą rozliczalności, zgodnie z którą Administrator danych powinien być w stanie wykazać prawidłowe stosowanie m.in. zasady, która jest przedmiotem tego opracowania. Narzędziem przydatnym do wykazania stosowania zasady minimalizacji może być w szczególności rejestr czynności przetwarzania, w którym umieszcza się:

  • cele przetwarzania,
  • kategorie osób, których dane dotyczą,
  • kategorie danych osobowych,
  • jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.

Analiza poszczególnych informacji zawartych w rejestrze pozwala na zestawienie przetwarzanych danych osobowych, z celami oraz okresem ich przetwarzania, co z kolei pozwala zweryfikować, czy zasada minimalizacji jest przestrzegana.

company, social network, community

A co w przypadku nieprzestrzegania zasady minimalizacji?

Należy pamiętać, że nieprzestrzeganie zasady minimalizacji jest jednoznaczne z niedostosowaniem się do wymogów RODO i może wiązać się z różnego rodzaju konsekwencjami, w tym nałożeniem kary administracyjnej przez organ nadzorczy. Powinno się zatem unikać zbierania danych "na zapas" lub przetwarzania przez czas dłuższy, niż to konieczne, by nie narazić się na zarzut przetwarzania niezgodnie z obowiązującymi przepisami prawa.

Przeczytaj więcej o możliwych karach związanych z nieprzestrzeganiem wymogów RODO: https://lexdigital.pl/kary-rodo-2022

Polecane

Upoważnienie do przetwarzania danych osobowych

Upoważnienie do przetwarzania danych osobowych

Jest jednym z wymagań, które stawia przed nami RODO w art. 29 — Przetwarzanie z upoważnienia administratora lub podmiotu przetwarzającego: "Podmiot przetwarzający oraz każda osoba działająca z upoważnienia administratora lub podmiotu przetwarzającego i mająca dostęp do danych osobowych przetwarzają je wyłącznie na polecenie administratora danych, chyba że wymaga tego prawo Unii lub prawo państwa członkowskiego."

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Cookiesy, zgody i RODO oraz nowy projekt raportu od EDPB

Kwestie regulacji dotyczących plików cookie oraz zgody na ich używanie od dawna intrygują osoby zajmujące się ochroną danych osobowych. Jak obecnie wygląda ta kwestia? Jakie akty prawne dotyczą zasady używania ciasteczek w Polsce oraz jak ewoluuje ten temat w Unii Europejskiej?

Popularne

Chcesz skorzystać z naszej oferty?Nie czekaj!

Wspieramy przedsiębiorców

Skontaktuj się osobiście z doradcą LexDigital - odpowiemy na nurtujące Cię pytania, zaplanujemy spotkanie, przygotujemy spersonalizowaną ofertę dopasowaną do potrzeb Twojej organizacji.

Zapraszamy do kontaktu

Informujemy, że Państwa zgoda może zostać cofnięta w dowolnym momencie przez wysłanie wiadomości e-mail na adres naszego Inspektora Ochrony Danych iod@lexdigital.pl spod adresu, którego zgoda dotyczy.

Administratorem Państwa danych osobowych jest LexDigital Sp. z o.o. z siedzibą w Poznaniu (60-363), przy ul. Grodziska 8. Wszystkie pytania i wątpliwości prosimy kierować do naszego Inspektora Ochrony Danych na adres iod@lexdigital.pl

Państwa dane przetwarzane są w celu odpowiedzi na wiadomość wysłaną za pomocą formularza kontaktowego, podjęcia na Państwa wniosek określonych działań przed zawarciem umowy lub wysłania Państwu treści marketingowych. Przysługuje Państwu prawo dostępu do danych, ich sprostowania, usunięcia, ograniczenia przetwarzania, wniesienia sprzeciwu i cofnięcia w każdym momencie udzielonej zgody bez wpływu na zgodność z prawem przetwarzania danych, którego dokonano na podstawie zgody przed jej wycofaniem. Masz również prawo wniesienia skargi do Prezesa Urzędu Ochrony Danych Osobowych.

Więcej informacji na temat przetwarzania danych osobowych znajdziecie Państwo w naszej Polityce prywatności.

komputronik biofarm lpp apart wykop volkswagen tpay netguru novol pearson impel phyto-pharm veolia cuf-podatki talex gethero tesgas uep fibaro akademia-kozminskiego bilety24 bims cichy-zasada currency >
<img src= kir ministerstwo cyfryzacji pierre-fabre polomarket porr przelewy24 swiss-krono vox wielkopolska-izba-lekarska wsb wtk