Dane osobowe oraz wszelkie procesy związane z ich przetwarzaniem, nie mogą być traktowane jak zwykłe informacje, które tysiącami docierają do nas każdego dnia. Zdają sobie z tego sprawę autorzy odpowiednich aktów prawnych zawierających zasady regulujące sposoby obchodzenia się z naszą prywatnością. Wiedzą również o tym unijni projektodawcy, którzy właściwe ograniczenia przewidzieli również w RODO. Otóż art. 5 ust.1 lit. c definiuje zasadę adekwatności w brzmieniu – Dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”). Adekwatność tym samym, to gromadzenie danych w zakresie wystarczającym do realizacji celu danego przetwarzania, ani mniej, ani więcej.
W myśl zasady adekwatności do przetwarzania danych osobowych musi dochodzić z maksymalnym ograniczeniem ingerencji w sferę prywatności. Przetwarzanie niezbędne, rozumiane w kontekście przepisów chroniących dane osobowe, to czynności koniecznie potrzebne dla osiągnięcia wskazanych celów. Nie należy traktować żadnych operacji na danych osobowych jako czynności, które mogą usprawiedliwiać zbieranie informacji na zapas, bez wyraźnego i dającego się usprawiedliwić powodu. Tym samym przetwarzanie musi być stosowne w ramach każdego indywidualnego przypadku, a jego zakres musi najlepiej pasować i odpowiadać z uwzględnieniem wszystkich okoliczności.
Jeśli więc osiągnięcie określonego celu jest możliwe z wykorzystaniem mniejszej ilości informacji, przykładowe gromadzenie dodatkowych danych może zostać uznane za złamanie zasady adekwatności. Przykładowo, kiedy chcemy otworzyć w banku najprostszy rachunek oszczędnościowo – rozliczeniowy, to ewentualny obowiązek dołączenia kopii dowodu tożsamości najczęściej będzie zupełnie zbędny z punktu widzenia osiągnięcia celu, jakim w tym przypadku jest zdobycie nowego klienta, w zamierzeniu mającego w najbliższej przyszłości deponować środki, którymi obraca dany bank. W takim wypadku wystarczy jedynie właściwa weryfikacja pod kątem prawidłowości danych.
Abstrahując od przepisów RODO, należy podkreślić, że ustawodawca krajowy przewiduje w licznych przypadkach precyzyjne wskazanie katalogu danych osobowych, które mogą być przetwarzane w odpowiednim aspekcie. Co do zasady, takie katalogi mają charakter zamknięty, stanowią uszczegółowienie zasady adekwatności. Co najważniejsze, niezależnie od treści odgórnie określonej listy danych osobowych możliwych do przetwarzana, jesteśmy zmuszeni uznać, że wypełnia ona odpowiednie dyspozycje, jest niezbędna, stosowna oraz oczywiście adekwatna do celu przetwarzania.
Najlepszym przykładem takiego rozwiązania są przepisy Kodeksu Pracy, który w art. 221 § 1 i 2, określa zamknięty katalog danych osobowych, które mogą być gromadzone przez pracodawcę. I tak, od osoby ubiegającej się o zatrudnienie można żądać podania takich danych jak: imię (imiona) i nazwisko; imiona rodziców; datę urodzenia; miejsce zamieszkania (adres do korespondencji);wykształcenie oraz przebieg dotychczasowego zatrudnienia. Dodatkowo pracodawca może żądać, już od pracownika, także innych danych osobowych pracownika, a także imion i nazwisk oraz dat urodzenia dzieci pracownika, jeżeli podanie takich danych jest konieczne ze względu na korzystanie przez pracownika ze szczególnych uprawnień przewidzianych w prawie pracy oraz numeru PESEL pracownika nadanego przez Rządowe Centrum Informatyczne Powszechnego Elektronicznego Systemu Ewidencji Ludności (RCI PESEL).
Największą wątpliwość w kwestii ustawowo określonych katalogów danych osobowych stanowi możliwość udzielenia zgody na gromadzenie większej liczby informacji niż wynika to z przepisu. Możemy się spotkać z dwoma sprzecznymi stanowiskami. Według pierwszego każdy posiada pełną swobodę w dysponowaniu swoimi danymi osobowymi i tylko od niego zależy dopuszczenie poszerzenia katalogu o dodatkowe informacje. Drugie stanowisko, reprezentowane zwłaszcza przez Generalnego Inspektora Danych Osobowych oraz Naczelny Sąd Administracyjny, takiej możliwości nie dopuszcza wskazując na, co do zasady, słabszą pozycję podmiotów, które godzą się na gromadzenie dodatkowych danych na swój temat. Nie rozstrzygając ostatecznie tej kwestii należy podkreślić, że w zamiarze ustawodawcy unijnego i w konsekwencji także krajowego, jest ochrona sfery prywatności, m.in. poprzez odpowiednie stosowanie zasad regulujących jakość przetwarzanych danych, w tym przede wszystkim zasadę adekwatności. Takie postawienie sprawy powinno wymusić na administratorach danych osobowych wypracowanie odpowiednich procedur w ramach obligatoryjnej ochrony prywatności podmiotów danych.
Piotr Gutowski dla IT Law Solutions
Polecamy także pozostałe wpisy z cyklu, w którym omawiamy zasady przetwarzania danych osobowych: