Tworząc zbiór danych osobowych nie możesz tego robić ot tak sobie. Musisz posiadać podstawę prawną do ich przetwarzania. Musisz też określić konkretny cel przetwarzania.
Jest jeszcze jedna niezwykle ważna, acz często ignorowana kwestia.
Dane osobowe, które przetwarzasz, muszą być adekwatne do celu przetwarzania.
Co to znaczy? Już wyjaśniam.
Cel przetwarzania danych osobowych
Dane osobowe na mocy polskiego prawa podlegają ochronie. Abyś mógł te dane przetwarzać, musisz spełnić wiele warunków określonych w przepisach prawa. Nie możesz gromadzić danych osobowych i włączać do zbioru według własnego widzimisię i bez konkretnego celu.
Jeśli je zbierasz „bo mogą się kiedyś przydać, ale nie wiem jeszcze do czego” to działasz niezgodnie z prawem.
Każdy zbiór danych osobowych może być tworzony w konkretnym, jasno sprecyzowanym celu. Z tym celem powiązany jest zakres danych jakie gromadzisz.
Dane osobowe adekwatne do celu przetwarzania
Jeśli zdefiniowałeś już cel, to jest to pierwszy krok do sukcesu. Teraz musisz zastanowić się jakie dane są niezbędne, aby móc ten cel osiągnąć.
Masz zbiór danych osobowych, które przetwarzasz w celu wysyłki wiadomości e-mail o promocjach w Twojej firmie.W zbiorze przetwarzane są następujące dane:
- adres e-mail
- imię
- nazwisko
- rok urodzenia
- adres (miasto, ulica, numer domu/mieszkania)
Jakie dane są Ci niezbędne, aby wysłać wiadomość e-mail?Tak – TYLKO ADRES E-MAIL
Czy to oznacza, że możesz przetwarzać tylko dane niezbędne do realizacji celu?
Ależ skąd. Adekwatne nie oznacza NIEZBĘDNE.
Dane adekwatne do celu przetwarzania, to dane których przetwarzanie ma wpływ na możliwość realizacji celu. Jest to zatem kwestia sensownego uzasadnienia. Musisz sobie odpowiedzieć na pytania:
– czy konkretna dana wpływa na realizację celu?
… i jeśli TAK…
– w jaki sposób wpływa?
Zajmijmy się danymi z powyższego przykładu. Kwestia adresu e-mail jest oczywista – bez niego nie wyślemy maila.Imię i nazwisko – nie są niezbędne do wysyłki maila, ale mogą nam posłużyć do personalizacji mailingu. Spersonalizowany mailing jest skuteczniejszy.Rok urodzenia – nie jest bezwzględnie konieczny, aby wysłać mailing. Zapewnia jednak możliwość skutecznego targetowania (np. gdy chcemy przesłać ofertę dla grupy wiekowej 30-35 lat)Miasto – również nie jest to dana niezbędna. Jej przetwarzanie możemy jednak uzasadnić tak jak powyżej – targetowaniem.Ulica, numer domu/mieszkania – to już wydaje się zbyt szczegółowe.
Jak określić czy dane osobowe są adekwatne do celu przetwarzania?
Jeśli chcemy określić jakie dane są adekwatne do celu przetwarzania w wielu przypadkach z pomocą przyjdą nam przepisy prawa. Na przykład Kodeks pracy (art. 22) określi nam jakie dane kandydatów i pracowników możemy przetwarzać.
W podanym wyżej przykładzie pokazałem, że kwestia adekwatności danych może być uznaniowa. Należało się kierować zdrowym rozsądkiem, znajomością technik skutecznego e-mail marketingu i możliwościami narzędzi z jakich korzystamy.
W praktyce powyższe kwestie często się pokrywają. Musimy polegać na własnym zdrowym rozsądku i konfrontować go z przepisami prawa.
Ekspert ochrony danych osobowych z 10 letnim doświadczeniem. Realizował projekty związane z ochroną danych osobowych dla takich marek jak eObuwie.pl, Shoper, KKS Lech Poznań, Carry, Akademickie Inkubatory Przedsiębiorczości. Członek Stowarzyszenia Inspektorów Ochrony Danych (SABI) i Stowarzyszenia Praktyków Ochrony Danych (SPOD). Absolwent Politechniki Poznańskiej. Informatyk, inżynier systemów zarządzania. Absolwent studiów podyplomowych z zakresu systemów zarządzania opartych o normy ISO (Politechnika Poznańska) oraz bezpieczeństwa danych w systemach komputerowych (Collegium DaVinci). Współtwórca autorskiej metody wdrażania RODO.