Jednym z podstawowych wyzwań każdego administratora jest ustalenie zakresu danych osobowych, które będą wykorzystywane w jego działalności. To kluczowa sprawa w projektowaniu procesu przetwarzania, która wpływa na cały jego ostateczny kształt. Nieodpowiednie decyzje w tym zakresie mogą skutkować naruszeniem praw osób fizycznych, postępowaniem administracyjnym przed UODO, a nawet odpowiedzialnością karną administratora z tytułu nieuprawnionego przetwarzania danych osobowych.
Na jakiej podstawie przetwarzasz dane osobowe?
Przetwarzanie danych osobowych powinno mieć swoją podstawę. RODO wskazuje je w przepisach art. 6 dla danych zwykłych oraz art. 9 dla szczególnych kategorii danych. Dobór podstawy, na której oprzesz przetwarzanie danych osobowych ma też wpływ na ustalenie zakresu danych, które będziesz mógł wykorzystać.
W pierwszej kolejności sugeruję Ci sprawdzenie, czy istnieje przepis nakładający na Ciebie obowiązek przetwarzania danych. Jeżeli tak, przepisy mogą wskazywać również konkretny zakres danych, które są wymagane do realizacji tego celu. W przeciwnym wypadku powinieneś znaleźć inną podstawę przetwarzania. Zwróć uwagę w szczególności na prawnie uzasadniony interes lub interes publiczny, jeżeli działasz w podmiocie publicznym.
Zasada minimalizacji danych osobowych
Korzystając z tych, jak i pozostałych podstaw przetwarzania z art. 6 RODO, powinieneś kierować się zasadą minimalizacji danych osobowych. Oznacza ona, że dane powinny być adekwatne, stosowne i ograniczone do minimum niezbędnego do realizacji założonego celu. Przykładowo, jeżeli zamierzasz kontaktować się z klientem, będziesz do tego potrzebować jego numeru telefonu lub adresu e-mail. W przypadku, gdy nie ma dla Ciebie znaczenia sposób komunikacji, podanie jednego lub drugiego może być opcjonalne.
W przypadku realizowania zadań publicznych zakres niezbędnych danych osobowych będzie wynikał z samej czynności. Wszystko to, co jest potrzebne do załatwienia sprawy, będzie mieścić się w dozwolonym zakresie – oczywiście z zastrzeżeniem innych podstaw przetwarzania, szczególnie w przypadku wykorzystania szczególnych kategorii danych, np. dotyczących zdrowia.
Przykładem prawnie uzasadnionego interesu jest wykorzystanie danych osobowych klienta do przeprowadzenia windykacji roszczeń. Działanie to nie wymaga zgody, ponieważ gdyby tak było, dłużnik mógłby uniknąć swojej odpowiedzialności. Pamiętaj jednak, że w przypadku oparcia się na tej przesłance powinieneś przeprowadzić test równowagi.
Test równowagi
Skorzystanie z prawnie uzasadnionego interesu prawnego jako podstawy przetwarzania powinno zostać poprzedzone przeprowadzeniem testu równowagi. Ma on na celu ocenę, czy Twój interes przeważa nad interesami osób, których dotyczą dane osobowe. Bierzemy w nim pod uwagę takie czynniki jak zbieżność interesów czy możliwe skutki, jak również określamy środki ochrony danych. Ze względu na zasadę rozliczalności, warto tę ocenę udokumentować.
O zgodzie na przetwarzanie danych osobowych
Celowo nie napisałem jeszcze o zgodzie na przetwarzanie danych osobowych i mam ku temu dobry powód. Skorzystanie z tej podstawy przetwarzania powinieneś rozpatrywać na samym końcu – przeczytaj o “zgodozie” tutaj. Jest tak między innymi dlatego, że przysługuje w jej przypadku prawo do wycofania zgody w dowolnym momencie, co powoduje konieczność pozbycia się danych.
Jeżeli natomiast ciążą na Tobie obowiązki prawne, np. przechowywanie dokumentacji, lub masz prawnie uzasadniony interes do wykorzystania danych, np. w związku z windykacją należności, skorzystanie z tego uprawnienia będzie nieskuteczne.
Aha, i jeszcze jedno!
Nie zbieraj danych osobowych na zapas. Zdaję sobie sprawę, że istnieje pokusa zebrania większej ilości danych na przyszłość. Pamiętaj jednak, że jeżeli nie dysponujesz do tego podstawą, będą one nadmiarowe. To natomiast może Cię narazić na konsekwencje, o których wspomniałem na początku.