W związku ze zbliżającym się wejściem w życie Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia Dyrektywy 95/46/WE (dalej: RODO), przedsiębiorców czekają liczne obowiązki. Jednym z nich jest konieczność weryfikacji przetwarzanych danych osobowych pod kątem ich adekwatności, a więc sprawdzenie, czy zakres przetwarzanych danych osobowych jest rzeczywiście niezbędny i możliwie ograniczony ze względu na cel, w jakim się to odbywa.
Wszystko już było
Adekwatność danych nie jest pojęciem nowym ani w prawie europejskim, ani w polskim. Na gruncie krajowym adekwatność jest związana z konstytucyjną zasadą prawa do prywatności, a odnosi się do niej m.in. art. 51 konstytucji, który jako zasadę ustanawia zakaz pozyskiwania przez organy publiczne danych obywateli, z wyłączeniem przypadków określonych ustawą – i w tym przypadku w możliwie ograniczonym zakresie.
W obowiązującej ustawie o ochronie danych osobowych z 29 sierpnia 1997 r. do adekwatności odnosi się art. 26 ust. 1 pkt 3, zgodnie z którym administrator jest zobowiązany zapewnić, aby przetwarzane dane były adekwatne w stosunku do celów, w jakich są przetwarzane.
Pojęcie adekwatności jest dobrze omówione w orzecznictwie, rozstrzygnięciach regulatora i obecnie nie budzi większych wątpliwości także wśród komentatorów. Warto zwrócić uwagę, że główny inspektor ochrony danych osobowych interpretuje zasadę adekwatności w odniesieniu do danych osobowych jako gromadzenie takich danych, które są niezbędne i wystarczające do realizacji celu przetwarzania, czyli dane powinny być niezbędne i wystarczające, a nie przydatne.
Na konieczność zbierania tylko danych niezbędnych do osiągnięcia zamierzonego celu, zamiast agregowania danych nadmiarowych, które mogą ułatwić lub sprzyjać osiągnięciu celu, wskazywał również Trybunał Konstytucyjny m.in. w wyroku z 20 listopada 2002 r (K 41/02) dotyczącym kontrowersyjnej kwestii deklaracji majątkowych, które miały być zbierane przez urzędy skarbowe.
Dokumenty tożsamości
Dobrym praktycznym przykładem pokazania problemów, jakie pojawiają się w związku z adekwatnością danych, jest wykorzystywanie danych z dowodów osobistych. GIODO wielokrotnie podkreślał, że przechowywanie danych w postaci kopii dowodów osobistych czy pozostawianie dokumentów tożsamości pod zastaw nie tylko narusza zasadę adekwatności, ale także może być bardzo niebezpieczne dla samego podmiotu danych, np. w przypadku, gdy dane z dokumentu zostaną wykorzystane w celu kradzieży tożsamości.
Jednym z typowych przykładów, gdzie kopiowanie dowodów osobistych lub innych dokumentów tożsamości prowadzi do pozyskania zbyt wielu danych osobowych, a zatem do naruszenia zasady adekwatności są firmy telekomunikacyjne. GIODO nie raz w sposób jednoznaczny stawał na stanowisku, że takie pozyskiwanie danych jest nadmiarowe i nie znajduje uzasadnienia z punktu widzenia artykułu 161 ustawy z 16 lipca 2004 prawo telekomunikacyjne. Przepis ten w ust. 2 określa bowiem dokładny zakres danych, których może żądać przedsiębiorca telekomunikacyjny (tj. nazwisko i imiona, imiona rodziców, miejsca i daty urodzenia, adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania, numer ewidencyjny PESEL – w przypadku obywatela Rzeczypospolitej Polskiej, nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu, dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych) i nie mieszczą się w nim takie dane jak np. wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy. A więc o ile podmiot danych nie wyraził dobrowolnej zgody na przetwarzanie danych niewymienionych w ust. 2 i dane te są niezbędne i wystarczające dla realizacji usług na rzecz podmiotu danych - przedsiębiorca telekomunikacyjny nie może w sposób legalny przetwarzać ich.
Dla porównania, z zupełnie inną sytuacją mamy do czynienia w przypadku art. 112b ustawy z 29 sierpnia 1997 r. prawo bankowe, który wprost zezwala bankom na przetwarzanie wszystkich danych zawartych w dokumentach potwierdzających tożsamość (dowód osobisty, paszport, karta pobytu wydana na rzecz cudzoziemcy) dla celów wykonywania działalności bankowej.
Jaka technika do zastosowania
Zestawiając te dwa przykłady, warto pamiętać, że kwestia techniki utrwalania danych zawartych w dokumentach tożsamości pozostaje bez znaczenia z punktu widzenia adekwatności danych, co potwierdził Naczelny Sąd Administracyjny w wyroku z 19 grudnia 2001 r.. (sygn. akt II SA 2869/00) stwierdzając, że: „Gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności tego utrwalania (przetwarzania). Dla takich ocen istotne znaczenie mają przede wszystkim: podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. l pkt 3)". Podobny pogląd NSA wyraził w wyroku z 7 listopada 2003 r. (sygn. akt II SA 1432/02) uznając, że „ustawa o ochronie danych osobowych nie zajmuje się określaniem techniki gromadzenia danych osobowych, lecz zakresem ich przetwarzania".
Adekwatne stosowne i ograniczone
RODO odwołuje się do zasady adekwatności choćby w motywie 39 preambuły, gdzie wskazuje, że „Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego i niezbędnego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu".
Privacy by design i privacy by default
Oprócz konieczności zweryfikowania zakresu dotychczas przetwarzanych danych, trzeba będzie również przygotować swoją organizację pod kątem realizacji wymogu adekwatności według nowych zasad. Wyrażone w art. 25 RODO zasady privacy by design i privacy by default, konkretyzują zasadę adekwatności zarówno na poziomie technicznym jak i organizacyjnym.
Wdrożenie tych zasad do organizacji może polegać na przykład na możliwie szybkim pseudonimizowaniu danych, czyli takim ich przetworzeniu, aby nie było możliwe ich przypisanie konkretnej osobie, bez użycia dodatkowych informacji, czy prowadzeniu na bieżąco analizy i zarządzania ryzykiem, szkoleń i audytów.
Zdaniem autora
Daniel Michalski, radca prawny, prawnik w kancelarii MDDP Olkiewicz i Wspólnicy
Nie można zapominać, że niektóre okoliczności i sytuacje rynkowe postawią administratorów przed wyzwaniem zabezpieczenia się na wypadek nieuczciwego zachowania osób korzystających z ich usług np. podania niezgodnych z prawdą informacji nt. stanu zdrowia w branży ubezpieczeniowej, zawierania umów pożyczek z zamiarem ich niespłacenia itp.
Dla wyeliminowania takich przypadków, administratorzy powinni mieć możliwość pozostawienia możliwie minimalnego fragmentu danych, co z jednej strony pozwoli na możliwość wyeliminowania, ponownych działań nieuczciwych klientów, ale jednocześnie nie narazi administratora na zarzut bezprawnego przetwarzania danych. Warto bowiem pamiętać, że naruszenie zasady adekwatności określonej w art. 5 ust. 1 c) RODO, może w skrajnym przypadku prowadzić do nałożenia na administratora sankcji przewidzianych w art. 83 ust. 5 RODO.