W artykule kontynuujemy wyjaśnianie zasad przetwarzania danych osobowych opisanych w artykule 5 ROZPORZĄDZENIA PARLAMENTU EUROPEJSKIEGO I RADY (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (RODO).
Trzecią ogólną zasadą przetwarzania danych osobowych jest zasada adekwatności i minimalizacji danych. Zgodne z przepisem ust. 1 lit. c komentowanego artykułu, przetwarzane dane powinny być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
Określenie „adekwatne” oznacza „odpowiednie, zgodne, proporcjonalne, nienadmierne” i może być traktowane jako synonim słowa „stosowne”. Adekwatności i stosowność rozumieć można jako konieczność zachowania odpowiednich proporcji zakresu danych do celów przetwarzania i przetwarzanie tylko takich danych, które są potrzebne dla realizacji określonych celów.
Dalsza część przepisu zawiera wymóg, aby dane były ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Niewątpliwie dane, które są zbędne do realizacji celu, nie powinny być przetwarzane, jednak odczytywanie z komentowanego przepisu normy nakazującej ograniczenie danych jedynie do niezbędnego minimum i przetwarzanie tylko takich danych, bez których nie da się osiągnąć celu wydaje się interpretacją zbyt daleko idącą. Wymóg niezbędności należy odczytywać łącznie z wymogiem adekwatności i stosowności, co powinno pozwolić na uwzględnienie okoliczności i dopuszczenie przetwarzania danych, które w istotny sposób mogą pomóc osiągnąć cele przetwarzania.
W praktyce często zdarza się, że cel można osiągnąć łatwiej, szybciej i taniej, wykorzystując dane, bez których osiągnięcie podstawowego celu jest możliwe. Przyjęcie restrykcyjnej wykładni uniemożliwiałoby przetwarzanie jakichkolwiek innych danych niż tylko te, bez których cel nie może zostać osiągnięty. Przykładem może być zakres danych wykorzystywanych do kontaktów z określoną osobą; mając adres pocztowy można się z tą osobą skontaktować, jednak trwa to zwykle długo, wymaga większego nakładu pracy i dodatkowych kosztów, natomiast mając numer telefonu lub adres e‑mail można się z tą osobą skontaktować znacznie szybciej, łatwiej i taniej. Przyjęcie, że niezbędny jest jedynie adres tradycyjny, uniemożliwiałoby przetwarzanie pozostałych danych, które jednak – zależnie od okoliczności faktycznych – uznać można za adekwatne i stosowne do celu przetwarzania.
Omawiana zasada została skrótowo określona jako „minimalizacja danych”, co – jak wynika z argumentów przedstawionych powyżej – nie do końca odpowiada jej istocie i może być powodem restrykcyjnej interpretacji, prowadzącej do różnorodnych wątpliwości i problemów. Tak ujmowana zasada (nazywana niekiedy również zasadą minimalizmu), odnoszona do ustalenia zależności między celem a zakresem przetwarzania danych, oznacza dwa wymogi:
- ograniczenie zbierania danych jedynie do tych, które są niezbędne do osiągnięcia celu, oraz
- konieczność usunięcia danych, gdy staną się one zbędne do osiągnięcia celu przetwarzania
Starając się literalnie odczytać wymogi adekwatności i minimalizacji, można dojść do wniosku, że w praktyce nie jest łatwo je ze sobą pogodzić. Adekwatność zakłada dokonanie oceny przydatności określonego rodzaju danych do realizacji celu, natomiast minimalizacja prowadzi do uznania, że jeśli cel można osiągnąć bez przetwarzania określonego rodzaju danych, to nie należy takich danych przetwarzać. Wydaje się jednak, że można pogodzić ze sobą te dwa nie do końca spójne wymogi, uznając, że ich spełnienie należy oceniać łącznie, nie powinno się przyznawać prymatu minimalizacji kosztem adekwatności. Przy takim podejściu dopuszczalne wydaje się przetwarzanie danych w nieco szerszym zakresie niż tylko konieczne minimum, jednak pod warunkiem, że przetwarzane dane mają ścisły związek z realizacją celu (np. ułatwiają jego osiągnięcie).
Przedstawione powyżej rozważania dowodzą, że nie wydaje się trafny pogląd, zgodnie z którym „na gruncie komentowanego rozporządzenia wskazane kontrowersje straciły na znaczeniu, gdyż statuuje ono wprost zasadę minimalizacji danych, której elementem jest ich adekwatność”.
W kilku przepisach rozporządzenia można odnaleźć wyraźne nawiązania do wymogu minimalizacji danych. Dotyczy to m.in. art. 25 ust. 2 rozporządzenia 2016/679, wprowadzającego wymóg prywatności jako ustawienia domyślnego (ang. privacy by default), zgodnie z którym administrator powinien wdrożyć odpowiednie środki techniczne i organizacyjne, aby domyślnie przetwarzane były wyłącznie te dane osobowe, które są niezbędne dla osiągnięcia każdego konkretnego celu przetwarzania. Obowiązek ten odnosi się do ilości zbieranych danych osobowych, zakresu ich przetwarzania, okresu przechowywania oraz dostępności. W szczególności środki te powinny umożliwić zapewnienie, by domyślnie dane osobowe nie były udostępniane bez interwencji danej osoby nieokreślonej liczbie osób fizycznych.
W kontekście zasady adekwatności i minimalizacji uregulowanej w RODO zakłada się istnienie pewnego procesu wartościującego i oceniającego, opartego na niezbyt ścisłych kryteriach. Decyzje, jakie w tej mierze podejmuje administrator, podlegać będą w razie sporu kontroli sądowej oraz – w granicach kompetencji przyznanych ustawą – kontroli organu nadzorczego.
Niekiedy oceny adekwatności dokonuje prawodawca, wskazując w treści przepisu zakres danych, jakie mogą być przetwarzane dla realizacji określonego przepisami celu przetwarzania, co zasadniczo zwalnia administratora danych z obowiązku samodzielnego dokonywania tego rodzaju oceny i rozstrzygania, czy wskazany przez prawodawcę zakres danych jest adekwatny w stosunku do celów przetwarzania.
Zasada adekwatności była wielokrotnie przywoływana w decyzjach GIODO i Prezesa UODO i orzecznictwie sądów administracyjnych. Jednym z typowych sporów odnoszących się do adekwatności przetwarzania danych była kwestia kserowania dokumentów tożsamości.
Podmioty pozyskujące dane osobowe gromadzą niekiedy kopie dokumentów, w których zawarte są różnego rodzaju dane, w tym też dane, których przetwarzanie budzi wątpliwości z punktu widzenia adekwatności (np. wizerunek osoby). Problematyczne jest również wymaganie przesyłania skanów dokumentów tożsamości drogą elektroniczną, z uwagi na ryzyko bezprawnego wykorzystania tego rodzaju kopii do innych celów.