Jak stosować zasady minimalizacji danych osobowych?
Słyszałeś o minimalizacji danych ale nie wiesz, jak stosować tą zasadę? Chciałbyś przetwarzać dane osobowe zgodnie z ogólnymi zasadami ochrony danych osobowych. A może zastanawiasz się jakie inne zasady wiążą się z minimalizacją danych osobowych? Z treści wpisu dowiesz się:
- Co to jest zasada minimalizacji danych osobowych,
- Jak należy stosować ją w toku przetwarzania danych,
- Co oznaczają zasady ograniczenia celu oraz ograniczenia przechowywania danych osobowych.
Minimalizacja i ograniczenie w przetwarzaniu danych
Wszystkie ze wskazanych powyżej zasad nastawione są na zmniejszenie faktycznego zakresu wykorzystywania danych osobowych w odniesieniu do ich:
- niezbędności, adekwatność i stosowność danych osobowych do celów ich przetwarzania (zasada minimalizacji danych),
- przetwarzania wyłącznie w konkretnych, wyraźnych i prawnie uzasadnionych celach (zasada ograniczenia celu),
- przetwarzanie przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane (zasada ograniczenia przechowywania).
Innymi słowy, jeżeli zamierzasz gromadzić i przetwarzać dane osobowe, to w pierwszej kolejności powinieneś sprecyzować cel ich przetwarzania oraz zweryfikować przesłankę legalizacji przetwarzania w tymże celu (zgodnie z zasadą ograniczenia celu).
Następnie, dane osobowe możesz zbierać wyłącznie w zakresie niezbędnym do tego celu. Przykładowo, sprzedając towar w Internecie najczęściej nie potrzebujesz gromadzić wizerunku swoich klientów, nie sposób zatem uznać, aby były to dane adekwatne do celu, o ile stosowane przez ciebie mechanizmy nie wymagają gromadzenia tego typu danych osobowych, np. w celach identyfikacyjnych (zgodnie z zasadą minimalizacji).
Co więcej, nawet prawidłowo i legalnie zgromadzone i przetwarzane dane osobowe powinny być przechowywane jedynie przez czas ich retencji. Termin ten oznacza okres, w którym istnieje podstawa prawna legalizująca przetwarzanie danych osobowych. Wygaśnięcie tej podstawy prawnej oraz brak innej, na którą administrator danych może się powołać czyniłoby ich dalsze przetwarzanie danych nielegalnym. Dlatego też, zasada ograniczonego przetwarzania zakłada, że wraz z upływem okresu retencji dane osobowe należy usunąć, bądź pozbawić cech pozwalających na identyfikację osób, których te dane dotyczą (zgodnie z zasadą ograniczenia przetwarzania).
To ostatnie może mieć miejsce poprzez zanonimizuję danych. Nazwą tą określa się operację mającą na celu usunięcie części danych osobowych, które pozwalałyby na zidentyfikowanie osoby, której te dane dotyczą. Dzięki temu, administrator może pozostawić w swojej bazie danych część informacji o określonej osobie chociażby w celu realizacji jej przyszłych żądań.
Rozliczalność zasad
Pamiętaj również, że wiąże cię także zasada rozliczalności, w myśl której zobowiązany jesteś nie tylko do przestrzegania opisanych powyżej zasad ale również powinieneś być w stanie wykazać ich prawidłowe stosowanie. Przydatny do tego będzie zwłaszcza rejestr czynności przetwarzania, w którym powinieneś wpisywać takie informacje, jak:
- cele przetwarzania,
- kategorie osób, których dane dotyczą,
- kategorie danych osobowych,
- jeżeli jest to możliwe, planowane terminy usunięcia poszczególnych kategorii danych.
Jak wynika z powyższego, w oparciu o treść rejestru czynności przetwarzania możesz dokonać porównania przetwarzanych przez ciebie danych osobowych, z celami oraz planowanym okresem ich przetwarzania. Operacje te zaś pozwalają na zweryfikowanie, czy przestrzegasz zasady opisane w tym wpisie.