Dokumentacja kadrowa. Zasady prowadzenia i przechowywania
Nowoczesna księgowość – stacjonarnie czy online. Poradnik Gazety Prawnej 7/2020
Compliance 360° w firmie (PDF)Jak określić zakres danych osobowych?
Określając zakres danych osobowych, które mają być przetwarzane, należy przede wszystkim mieć na uwadze zasadę minimalizacji wynikającą z RODO. W myśl tej zasady, zgodnie z art. 5 ust. 1 lit. c) RODO, dane osobowe muszą być adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane. Postępowanie zgodnie z tą zasadą musi oznaczać, że administrator dostosuje m.in. zakres danych osobowych do celu ich przetwarzania. Sprzeczne z zasadą minimalizacji będzie zatem przetwarzanie możliwie szerokiego zakresu danych osobowych w danym procesie, np. imienia, nazwiska, adresu e-mail oraz adresu zamieszkania w przypadku korzystania z newslettera, ponieważ w tym procesie za wystarczające należy uznać pozyskiwanie adresu e-mail.
Niestety, także i dzisiaj cześć administratorów stosuje zakres danych osobowych niedostosowany do specyfiki konkretnego procesu, opierając się raczej na swoich przyzwyczajeniach, wcześniejszych doświadczeniach i praktykach, często jeszcze sprzed zmiany przepisów, niż na analizie przepisów lub zakresu danych potrzebnych w konkretnym procesie. Przykładem może być nadal występujące przetwarzanie serii i numeru dowodu osobistego w stosunku pracy poprzez gromadzenie tych danych osobowych (a często także i innych z dowodu osobistego w przypadku wykonywania kserokopii tego dokumentu) w teczce akt osobowych pracownika.
Dlaczego jednoczesne przetwarzanie danych osobowych z dowodu osobistego jest kwestionowane?
Numer PESEL oraz seria i numer dowodu osobistego to przykłady identyfikatorów, których przetwarzanie jest dopuszczalne, z reguły w przypadkach określonych przepisami prawa. Podstawowym celem przetwarzania tych danych osobowych jest umożliwienie identyfikacji osoby fizycznej, w tym celu administratorzy często pozyskują numer PESEL (do celu identyfikacji czy ewentualnego dochodzenia roszczeń). Nie oznacza to jednak, że administrator może przetwarzać dowolną liczbą identyfikatorów osoby fizycznej. Przede wszystkim, w zdecydowanej liczbie przypadków pozyskiwanie więcej niż jednego identyfikatora (a więc jednocześnie numeru PESEL oraz serii i numeru dowodu osobistego) będzie sprzeczne z zasadą minimalizacji. Prawidłowe stosowanie tej zasady oznacza, że administrator nie zbiera niepotrzebnych mu w danym procesie przetwarzania danych osobowych, a tym samym nie naraża się na zarzut pozyskiwania danych nadmiarowych. Po drugie, pozyskiwanie wszystkich danych osobowych zawartych w dowodzie osobistym nie ma z reguły oparcia w przepisie prawa. Zatem pozyskanie przez administratora numeru PESEL (np. do celu identyfikacji strony umowy) powinno wykluczyć pozyskiwanie serii i numeru dowodu osobistego, które miałoby służyć osiągnięciu tego samego celu. Ponadto, przetwarzanie serii i numeru dowodu osobistego jest dopuszczalne w przypadkach wyraźnie wskazanych w przepisach prawa, np. w przypadku ich zbierania przez kuratorów, banki czy, w przypadku niektórych podmiotów, pozyskiwania serii i numeru dowodu osobistego, jeżeli podmiot danych nie posiada numeru PESEL.
