Co za dużo to nie RODO – ile danych osobowych naprawdę wolno przetwarzać?
W Małopolsce to już końcówka ferii, ale sezon narciarski potrwa jeszcze przynajmniej kilka tygodni. Ci, którzy nie mając własnego sprzętu, korzystają z wypożyczalni, mogą stanąć przed dylematem – czy udostępnić swój dowód tożsamości wypożyczalni? Żądanie dowodu pod zastaw to w Polsce częsta praktyka. Czy legalna? Jak powyższe zagadnienie wygląda z perspektywy RODO? Kiedy i kto może kserować dowód osobisty lub prawo jazdy?
Zasada proporcjonalności przetwarzania danych osobowych – co to oznacza?
Podany przykład wypożyczalni sprzętu wiąże się z palącym w polskiej rzeczywistości problemem, jak określić dozwolony zakres przetwarzania danych osobowych. W art. 5 ust. 1 lit. c Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 (RODO) unijny prawodawca zawarł tzw. zasadę proporcjonalności (adekwatności) przetwarzania danych osobowych. Powołany przepis stanowi, że Dane osobowe muszą być […] adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane („minimalizacja danych”).
Wspomniane w Rozporządzeniu „adekwatność” i „stosowność” przetwarzania danych powinna być rozumiana jako „odpowiedniość”. Oznacza to, ilość przetwarzanych danych powinna być odpowiednia do celu. Nie za dużo i nie za mało. To „nie za mało” jest właśnie „tym co niezbędne”. Wiąże się to z funkcjonującym na gruncie RODO założeniem, w myśl którego przetwarzanie powinno dotyczyć niezbędnego minimum danych, jakie przetwarzającemu są niezbędne dla realizacji konkretnego i określonego celu przetwarzania (najczęściej realizacji umowy, świadczenia usługi).
Zbieranie danych osobowych zbędnych z perspektywy zamierzonego celu przetwarzania będzie stanowiło naruszenie przepisów RODO. Nawet fakt uzyskania zgody na przetwarzania danych osobowych nie usprawiedliwia przetwarzania zbędnych danych. Ocena właściwego zakresu danych osobowych powinna następować stosownie do okoliczności konkretnego przypadku.
Podsumowując zatem:
– Czy wolno zbierać dane osobowe, które nie są potrzebne do uzyskania celu przetwarzania?
– Nie.
– Nawet jak mamy na to zgodę osoby, której dane przetwarzamy?
– Tak, nawet kiedy mamy zgodę, to nadal jest to naruszenie przepisów RODO.
– No a kto decyduje o tym, które dane są niezbędne?
– Podmiot przetwarzający i tu właśnie zaczynają się schody…
Teoria kontra praktyka w przetwarzaniu danych RODO
Opisana wyżej zasada proporcjonalności wydaje się dość intuicyjna i nieskomplikowana w stosowaniu. W praktyce jednak można spotkać się z licznymi naruszeniami. Dla przykładu, notorycznie zdarza się, że różnego typu podmioty wymagają przekazania do przetwarzania całej gamy danych osobowych, które są zupełnie zbędne z punktu widzenia stosunków łączących nas z tymi podmiotami:
- skanowanie lub kserowanie dowodów osobistych, paszportów, legitymacji szkolnych przez podmioty świadczące usługi turystyczne (wypożyczalnie sprzętu, korzystanie z atrakcji na terenie ośrodka wypoczynkowego itp.);
- wymaganie od abonentów platform multimedialnych i dostawców mediów przesłania zdjęcia lub skanu obu stron dowodu tożsamości w celu weryfikacji statusu abonenta;
- żądanie złożenia kserokopii dowodu osobistego w celu założenia konta bankowego.
We wszystkich z ww. sytuacji dochodzi do naruszenia przepisów RODO poprzez działanie wbrew zasadzie proporcjonalności. W zobrazowanych powyżej sytuacjach argumentem przedsiębiorców wymagających zgody na bardzo szeroki zakresu danych osobowych często staje się dążenie do zabezpieczenia danych w celu dochodzenia ewentualnych roszczeń (np. za zniszczenie wypożyczanego sprzętu). Tymczasem taka ilość danych jest zupełnie niepotrzebna.
Jakie dane osobowe są potrzebne przedsiębiorcy do skutecznego dochodzenia roszczeń?
- imię, nazwisko,
- numer PESEL
- i ewentualnie adres zamieszkania.
Zbędne są natomiast w kontekście zawieranej umowy, jak i na wypadek sporu sądowego inne dane znajdujące się na skanowanych, kserowanych i zastawianych dokumentach, tj. wizerunek utrwalony na fotografii, imiona i nazwiska rodziców, wzór podpisu, kierunek i rok studiów, płeć, dane biometryczne (starsze wersje dowodów osobistych zawierają informacje o kolorze oczu i wzroście).
Kiedy bank może kserować dowód osobisty?
Podobnie w przypadku praktyki bankowej, Prezes UODO wyraził opinię, że jedynym dopuszczalnym przypadkiem sporządzania przez banki kserokopii dokumentów tożsamości jest działanie na podstawie art. 34 ust. 4 Ustawy o przeciwdziałaniu praniu pieniędzy oraz finansowaniu terroryzmu i tylko na potrzeby stosowania środków bezpieczeństwa finansowego, gdzie prawo wprost przewiduje taką sytuację.
Kserokopia prawa jazdy w wypożyczalni samochodów – czy zgodna z RODO?
Ciekawy przykład stanowi częsta praktyka wykonywania kserokopii prawa jazdy przez wypożyczalnie pojazdów. Z jednej bowiem strony w zasadzie wszystkie dane zawarte na dokumencie prawa jazdy można uznać za niezbędne do wykonania umowy lub dochodzenia roszczeń – bezsprzecznie za takie uznać można informacje o posiadanych uprawnieniach do kierowania pojazdami, imię i nazwisko, numer PESEL i adres. Z drugiej strony można uznać, że do prawidłowej i skutecznej realizacji obu ww. celów wystarczyłoby przepisanie danych z okazanego dokumentu. Wracając do parafrazy brzmienia zasad RODO – „skoro można mniej, to należy przetwarzać mniej”.
Powyższe jest o tyle istotne, że wykonując kserokopię prawa jazdy, możemy narazić się na odpowiedzialność karną na podstawie art. 58 Ustawy o dokumentach publicznych, który stanowi, że Kto wytwarza, oferuje, zbywa lub przechowuje w celu zbycia replikę dokumentu publicznego, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2.
Katalog dokumentów publicznych został przedstawiony w art. 5 ww. ustawy, a za replikę takiego dokumentu, zgodnie z art. 2 ust. 1 pkt. 6 ustawy uznać należy […] odwzorowanie lub kopię wielkości od 75% do 120% oryginału o cechach autentyczności dokumentu publicznego lub blankietu dokumentu publicznego, z wyłączeniem kserokopii lub wydruku komputerowego dokumentu publicznego wykonanych do celów urzędowych, służbowych lub zawodowych określonych na podstawie odrębnych przepisów lub na użytek osoby, dla której dokument publiczny został wydany […].
Podsumowując, bezpieczniejszym rozwiązaniem byłoby w omawianym przypadku przepisanie danych z okazanego dokumentu, aniżeli wykonanie jego kserokopii.
Proste i skuteczne sposoby na ograniczanie zakresu przetwarzanych danych
Jak zatem uniknąć przetwarzania zbieranych danych osobowych w zakresie naruszającym przepisy RODO? Jako proste rozwiązania przykładowo wymienić można:
- zweryfikowanie świadczonych usług pod kątem danych, których przetwarzanie jest niezbędne dla ich skuteczności;
- rezygnacja z kserowania dokumentów na rzecz spisywania z nich potrzebnych danych;
- w przypadku zdecydowania się na wykonanie kserokopii dokumentu – anonimizacja, zasłonięcie lub zamazanie zbędnych danych (np. fotografii);
- rezygnacja z żądania dokumentów „pod zastaw” i wprowadzenie kaucji za wypożyczony sprzęt.