Reducerea la minimum a datelor – Pe scurt
Trebuie să vă asigurați că datele cu caracter personal pe care le prelucrați sunt:
- adecvate – suficiente pentru a vă îndeplini în mod corespunzător scopul declarat;
- relevante – au o legătură rațională cu scopul respectiv; și
- limitate la ceea ce este necesar – nu trebuie să dețineți mai multe informații decât aveți nevoie pentru îndeplinirea scopului respectiv.
Listă de verificare
- Colectăm doar datele cu caracter personal de care avem într-adevăr nevoie în scopurile noastre precizate.
- Avem suficiente date cu caracter personal pentru a îndeplini în mod corespunzător scopurile respective.
- Verificăm în mod periodic datele pe care le deținem și ștergem orice date de care nu avem nevoie.
Reducerea la minimum a datelor. La ce se referă acest principiu?
Articolul 5 alineatul (1) litera (c) din GDPR prevede că:
“1. Datele cu caracter personal sunt:
(c) adecvate, relevante și limitate la ceea ce este necesar în raport cu scopurile în care sunt prelucrate („reducerea la minimum a datelor”)”
Prin urmare, ar trebui să identificați cantitatea minimă de date cu caracter personal de care aveți nevoie să vă îndepliniți scopul. Ar trebui să dețineți acea cantitate de informații, nu mai mult.
Acesta este primul dintre cele trei principii referitoare la standardele în materie de date, alături de exactitate și limitările legate de stocare.
Principiul responsabilității se referă la obligația de a demonstra că aplicați procesele corespunzătoare pentru a vă asigura că datele cu caracter personal pe care le colectați și pe care le dețineți sunt doar cele de care aveți nevoie.
De asemenea, rețineți că RGPD prevede că persoanele au dreptul de a completa orice date incomplete care nu sunt adecvate scopului dumneavoastră, în temeiul dreptului la rectificare. Mai mult, acestea au dreptul de a vă obliga să ștergeți orice date care nu sunt necesare pentru îndeplinirea scopului dumneavoastră, în temeiul dreptului la ștergerea datelor (dreptul de a fi uitat).
Reducerea la minimum a datelor. Cum stabilim ce este adecvat, relevant și limitat?
RGPD nu definește acești termeni. Cu toate acestea, definițiile acestor termeni va depinde în mod clar de scopul precizat pentru colectarea și utilizarea datelor cu caracter personal. De asemenea, definițiile pot diferi de la o persoană la alta.
Astfel, pentru a evalua dacă dețineți cantitatea corectă de date cu caracter personal, trebuie să fiți clari în privința motivului pentru care aveți nevoie de acestea.
În ceea ce privește datele aparținând unei categorii speciale sau datele privind infracțiunile, este deosebit de important să vă asigurați că este colectată și reținută doar cantitatea minimă de informații.
Ar putea fi nevoie să realizați această evaluare pentru fiecare persoană în parte sau pentru fiecare grup de persoane care au aceleași caracteristici relevante. Ar trebui să evaluați în special orice factori specifici pe care o persoană îi aduce în atenția dumneavoastră (de exemplu, ca parte a unei obiecții, a unei cereri de rectificare a datelor incomplete sau a unei cereri de ștergere a datelor inutile).
Ar trebui să revizuiți prelucrarea în mod periodic pentru a verifica dacă datele cu caracter personal pe care le dețineți mai sunt relevante și adecvate scopurilor dumneavoastră și pentru a șterge orice informație de care nu mai aveți nevoie. Acest principiu se află în strânsă legătură cu principiul limitărilor legate de stocare.
Te-ar putea interesa și:
În ce situație am putea să prelucrăm prea multe date cu caracter personal?
Nu ar trebui să dețineți mai multe date cu caracter personal decât aveți nevoie pentru a vă atinge scopul. Mai mult, datele respective nu trebuie să includă detalii irelevante.
Exemplu #1:
O societate de recuperare a creanțelor este angajată să identifice un anumit debitor. Aceasta colectează informații privind mai multe persoane cu un nume similar debitorului. Pe durata cercetării, câteva dintre aceste persoane sunt excluse. Societatea ar trebui să șteargă majoritatea datelor cu caracter personal ale acestora, păstrând doar o cantitate minimă de date necesare pentru a forma o evidență de bază privind persoanele care au fost excluse din căutare. Este recomandabil să se păstreze această cantitate mică de informații astfel încât aceste persoane să nu mai fie recontactate cu privire la datoriile care nu le aparțin.
Dacă trebuie să prelucrați informații speciale referitoare doar la anumite persoane, ar trebui să le colectați doar în privința acelor persoane. Este probabil ca informațiile să fie excesive și irelevante în legătură cu alte persoane.
Exemplu #2
O agenție de recrutare plasează lucrători în mai multe locuri de muncă. Aceasta trimite candidaților un chestionar general, care include întrebări specifice despre starea de sănătate care sunt relevante doar pentru anumite meserii practice. Ar fi irelevant și excesiv să obțineți astfel de informații de la o persoană care a aplicat pentru un loc de muncă la birou.
Nu trebuie să colectați date cu caracter personal în speranța că ar putea fi utile în viitor. Totuși, ați putea deține informații pentru un eveniment previzibil care ar putea să nu se aibă loc niciodată, cu condiția să justificați acest lucru.
Exemplu #3
Un angajator deține detalii privind grupele de sânge ale unora dintre angajații săi. Acești angajați desfășoară o muncă periculoasă și informațiile sunt necesare în cazul unui accident. Angajatorul are proceduri de securitate pentru prevenirea accidentelor, astfel că este posibil ca aceste date să nu fie folosite niciodată, dar acesta trebuie să dețină informațiile respective în cazul unei urgențe.
Totuși, dacă angajatorul deține informații privind grupele de sânge ale celorlalți angajați, este probabil ca astfel de informații să fie irelevante și excesive deoarece aceste persoane nu desfășoară activități periculoase.
Dacă dețineți mai multe date decât aveți într-adevăr nevoie pentru îndeplinirea scopului dumneavoastră, este posibil ca acest lucru să fie ilegal (având în vedere că majoritatea temeiurilor juridice prezintă un element de necesitate) și să reprezinte o încălcare a principiului reducerii la minim a datelor. De asemenea, persoanele au dreptul la ștergerea datelor.
În ce situație am putea să prelucrăm date cu caracter personal inadecvate?
Dacă prelucrarea pe care o efectuați nu vă ajută să vă atingeți scopul, atunci datele cu caracter personal pe care le dețineți sunt probabil inadecvate. Nu ar trebui să prelucrați date cu caracter personal dacă sunt insuficiente față de scopul avut în vedere.
În unele cazuri, ați putea fi nevoiți să colectați mai multe date cu caracter personal decât ați anticipat inițial că veți folosi pentru a avea suficiente informații în vederea îndeplinirii scopului în cauză.
Exemplu #4
Un grup de persoane înființează un club. La început, clubul are doar câțiva membri, care se știu între ei, iar activitățile clubului sunt administrate folosind doar informații de bază privind numele și adresele de e-mail ale membrilor. Clubul se dovedește a fi foarte popular și numărul membrilor crește rapid. Apare necesitatea colectării unor informații suplimentare despre membri astfel încât clubul să-i poată identifica în mod corespunzător și să poată urmări situația calității de membru, plata abonamentelor etc.
De asemenea, datele pot fi inadecvate dacă luați decizii în privința unei persoane pe baza unei înțelegeri incomplete a faptelor. Mai precis, dacă o persoană vă solicită să completați datele incomplete în temeiul dreptului la rectificare, acest lucru ar putea indica faptul că datele ar putea fi inadecvate pentru scopul dumneavoastră.
În mod evident, nu există niciun avantaj comercial în a deține date cu caracter personal inadecvate, însă trebuie să fiți atenți să nu mergeți prea departe în direcția opusă și să colectați mai mult decât aveți nevoie.
Ce se întâmplă cu caracterul adecvat și relevanța opiniilor?
O înregistrare a unei opinii nu reprezintă în mod necesar date cu caracter personal inadecvate sau irelevante doar pentru că persoana nu este de acord cu opinia respectivă sau este de părere că nu au fost luate în considerare informațiile pe care le consideră importante.
Cu toate acestea, pentru a fi adecvate, evidențele dumneavoastră ar trebui să fie clare în privința faptului că este vorba despre opinii și nu despre fapte. Înregistrarea opiniei (sau a contextului în care a fost susținută) ar trebui, de asemenea, să conțină suficiente informații pentru a permite cititorului să o interpreteze corect. De exemplu, ar trebui să menționeze data, numele și funcția autorului.
Dacă există probabilitatea ca o opinie să fie controversată sau foarte sensibilă ori dacă va avea un impact semnificativ atunci când este utilizată sau divulgată, este cu atât mai important să se menționeze circumstanțele sau dovezile pe care se bazează. Dacă o înregistrare conține o opinie care rezumă înregistrări mai detaliate deținute în altă parte, ar trebui să indicați acest lucru în mod clar.
Exemplu #5
O evidență a doctorului de familie poate conține o scrisoare din partea unui medic specialist, însă fișa de la spital este cea care conține mai multe detalii. În acest caz, înregistrarea opiniei medicului specialist ar trebui să conțină suficiente informații pentru a putea identifica evidențele detaliate.
Vrei să te aliniezi la GPPR? Cum te putem ajuta:
- Consultanță și implementare GDPR. Află mai multe aici.
- KIT complet de documente prin care îți faci singur implementarea, cu suportul nostru juridic. Află mai multe aici
[Conținutul prezentului articol nu reprezintă o consultație juridică în temeiul Legii nr. 51/1995 privind organizarea și exercitarea profesiei de avocat, iar site-ul nu își asumă răspunderea pentru conținutul publicat de autori, editori și colaboratori.]
