Audyt spełnienia zasady minimalizacji (adekwatność danych osobowych do celu przetwarzania)

Artykuł 5 ust. 1 lit. c RODO wprowadza zasadę minimalizacji danych. Chodzi o to, by administrator przetwarzał jak najmniejszą ilość danych osobowych, tj. tylko takie dane, które są mu niezbędne do realizacji danego celu.

Zasada ta łączy się z obecnym w art. 25 ust. 2 RODO postulatem privacy by default (domyślna ochrona danych). Chodzi o to, by domyślnie zbierać od użytkowników jak najmniej danych, a tym samym w jak największym stopniu chronić ich prywatność. Dopiero za późniejszą osobną zgodą użytkownika można pozyskać od niego większą ilość informacji.

Audyt tej okoliczności będzie przebiegał inaczej w każdej firmie. Nie da się bowiem z góry określić zestawu danych, który jest minimalny, a jednocześnie wystarczający do spełnienia danego celu podejmowanego przez administratora. Audyt tego aspektu powinien polegać na pochyleniu się nad każdym procesem biznesowym w firmie i przyjrzeniu się, czy wszystkie dane przetwarzane w ramach tego procesu są rzeczywiście do niego niezbędne. Te dane, które są zbędne, powinny zostać usunięte lub zanonimizowane.
 

PRZYKŁAD NEGATYWNY

Firma sprzedająca stolarkę okienną posiada na swojej stronie www formularz typu CallPage – osoba zainteresowana ofertą wpisuje w formularzu swój numer telefonu, po czym w czasie krótszym niż jedna minuta otrzymuje telefon przychodzący od sprzedawcy okien. Sprzedawca rozpoczyna rozmowę od wypytania potencjalnego klienta o imię i nazwisko, adres e-mail, kod pocztowy (aby wiedzieć, z jakiego regionu pochodzi konsument, by później móc polecić mu kontakt do lokalnego sklepu stacjonarnego należącego do sieci). Przy okazji sprzedawca zaznacza w CRM także płeć rozmówcy (istnieje odpowiednie do tego „okienko” w CRM) – na potrzeby późniejszych badań statystycznych, które mogą być przydatne do celów reklamy (np. okazuje się, że większość zapytań o ofertę składają kobiety, wobec tego przyszłe reklamy będą formułowane, biorąc pod uwagę ten target). Wszystkie dane (wraz z przekazanym już numerem telefonu) zostają wpisane do systemu CRM. Dopiero po tym pracownik call center rozpoczyna rozmowę, którą zainteresowany był rozmówca.

Bez względu na wynik rozmowy (czy konsument chciał zakupić okna i poprosił o szczegółową ofertę, czy też chciał otrzymać jakąś jedną informację, ale na razie nie decyduje się na kupno okien i nie jest zainteresowany dalszym kontaktem z firmą) dane potencjalnego klienta pozostają zapisane w bazie. Mogą wszak przydać się w przyszłości – gdyby ten sam klient ponownie kontaktował się z producentem okien, nie trzeba będzie wypełniać bazy ponownie.

Takie postępowanie jest nieprawidłowe. Pracownik call center nie powinien zbierać od rozmówcy danych osobowych w sytuacji, gdy nawet nie wiadomo, czy ten ostatni chce skorzystać z oferty i czy w ogóle jest zainteresowany dalszym kontaktem z firmą.

Jeśli nawet dane zostały wskazane podczas rozmowy, ale użytkownik nie jest zainteresowany dalszym kontaktem i nie wyraża zgody na dopisywanie go do jakichkolwiek list marketingowych (nie staje się tzw. leadem), powinno się dane usunąć. Zasada minimalizacji danych nie pozwala na zbieranie danych osobowych „na zapas”.

 

PRZYKŁAD

Sytuacja analogiczna – producent okien oddzwania do konsumenta, który pozostawił w formularzu na stronie www swój numer telefonu, aby firma podjęła z nim kontakt.

Sprzedawca pyta, w czym może klientowi pomóc, a następnie na tę potrzebę klienta odpowiada (np. podając parametry okien i ich ceny). Dopiero na wyraźną prośbę o ponowny kontakt (telefoniczny lub e-mai­lowy) sprzedawca powinien zapisać dane kontaktowe, które podał konsument do dalszej z nim komunikacji. Pytanie o dane adresowe byłoby stosowne tylko wówczas, gdyby klient życzył sobie przesłania oferty pocztą albo gdyby w rozmowie złożył już konkretne zamówienie i życzył sobie dostarczenia okien do domu.

Z kolei, jeśli klient podczas rozmowy telefonicznej jedynie poprosił o pewne informacje dotyczące oferty, ale nie chce żadnego późniejszego kontaktu, dane rozmówcy (numer telefonu i wszelkie pozostałe szczegóły rozmowy) powinny być wykasowane lub zmienione w postać zanonimizowaną. Przykładowo, do celów statystycznych firma może zaznaczać liczbę rozmów odbywanych z kobietami i z mężczyznami, ale w sposób anonimowy, statystyczny, bez przypisywania płci do konkretnych rozmówców. Posiadanie wiedzy o płci nie jest bowiem niezbędne ani do przedstawienia oferty, ani do wykonania umowy sprzedaży okien. Zbieranie tej informacji „na zapas” wykracza poza ramy zasady minimalizacji danych.