Zgodnie z art. 5 ust. 1 pkt c) Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (zwane: ogólnym rozporządzeniem o ochronie danych, także RODO) przyjmuje się, że pojęcie minimalizacja danych oznacza, że przetwarzanie danych osobowych powinno być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, w których dane są przetwarzane. Oznacza to, że organizacja (administrator danych) jest zobowiązany do ograniczenia zakresu przetwarzanych danych do niezbędnego - do osiągnięcia określonego celu przetwarzania - minimum.
W praktyce zasada minimalizacji danych oznacza, że administrator powinien przetwarzać tylko te dane, które są bezpośrednio niezbędne do osiągnięcia celu, dla którego zostały pozyskane. Zbierane dane osobowe muszą być zatem ściśle powiązane z tym celem i nie mogą wykraczać poza zakres niezbędny do jego osiągnięcia. . Jeśli cel przetwarzania danych osobowych może być osiągnięty w inny sposób, niewymagający przetwarzania danych osobowych lub pozwalający na ograniczenie ich zakresu, to taka alternatywa - absolutnego minimum - powinna zostać przez organizację (administratora) rozważona i w miarę możliwości wdrożona do procesów biznesowych.
Jakie są obowiązki administratora w zakresie minimalizacji danych osobowych?
Zgodnie z wymaganiami prawa w zakresie ochrony danych osobowych administrator danych (organizacja) jest zobowiązany do przeprowadzenia analizy adekwatności zakresu, kategorii oraz ilości przetwarzanych danych osobowych w stosunku do celu, dla którego dane te są przetwarzane. Na podstawie wyników analizy należy unikać przetwarzanie tych danych, które nie są niezbędne do realizacji wyznaczonego celu biznesowego.
Najprostszym przykładem przetwarzania nadmiarowych danych jest sytuacja, w której administrator danych (organizacja) planując wysyłkę newslettera z wykorzystaniem kanałów elektronicznych, oprócz adresu mailowego pozyskuje imię i nazwisko podmiotu danych. W takim przypadku, dane osobowe w zakresie imienia i nazwiska podmiotu danych stanowić będą nadmiarowe dane w planowanym procesie przetwarzania.
W wielu przypadkach do określenia zakresu przetwarzanych przez administratora danych (organizację) zakresu danych osobowych właściwe będą przepisy prawa, np. kodeks pracy, określające katalog możliwych do przetwarzania danych.
Zasada minimalizacji danych odnosi się również do okresu przetwarzania (przechowywania) danych. W tym zakresie pomocne mogą okazać się odpowiednie polityki, czy procedury regulujące zasady ustalania czasu retencji danych w poszczególnych procesach przetwarzania danych osobowych opisujących procesy biznesowe.
Czy organizacji grożą kary za naruszenie zasady minimalizacji danych osobowych?
Niewątpliwym przejawem naruszenia zasady minimalizacji danych osobowych jest zbędne gromadzenie kopii dokumentów lub utrwalanie jak największej ilości danych osobowych w systemach informatycznych na bliżej niesprecyzowane potrzeby, nie korespondujące z realizowanymi procesami biznesowymi. Podobne praktyki, najczęściej obarczone nieusprawiedliwionym działaniem pracowników organizacji, z jednej strony narażają prawa i wolności osób, których dane dotyczą, a z drugiej powodują złamanie zasady minimalizacji danych osobowych. Naruszenie tej zasady obarczone jest ryzykiem zastosowania przez organ nadzorczy (Prezesa Urzędu Ochrony Danych Osobowych) wobec organizacji (administratora danych) konsekwencji prawnych, mogących przybrać formę znaczącej kary finansowej wynoszącej 20 milionów euro lub do 4% całkowitego rocznego obrotu organizacji.