Dokumenty tożsamości
Dobrym praktycznym przykładem pokazania problemów, jakie pojawiają się w związku z adekwatnością danych, jest wykorzystywanie danych z dowodów osobistych. GIODO wielokrotnie podkreślał, że przechowywanie danych w postaci kopii dowodów osobistych czy pozostawianie dokumentów tożsamości pod zastaw nie tylko narusza zasadę adekwatności, ale także może być bardzo niebezpieczne dla samego podmiotu danych, np. w przypadku, gdy dane z dokumentu zostaną wykorzystane w celu kradzieży tożsamości.
Jednym z typowych przykładów, gdzie kopiowanie dowodów osobistych lub innych dokumentów tożsamości prowadzi do pozyskania zbyt wielu danych osobowych, a zatem do naruszenia zasady adekwatności są firmy telekomunikacyjne. GIODO nie raz w sposób jednoznaczny stawał na stanowisku, że takie pozyskiwanie danych jest nadmiarowe i nie znajduje uzasadnienia z punktu widzenia artykułu 161 ustawy z 16 lipca 2004 prawo telekomunikacyjne. Przepis ten w ust. 2 określa bowiem dokładny zakres danych, których może żądać przedsiębiorca telekomunikacyjny (tj. nazwisko i imiona, imiona rodziców, miejsca i daty urodzenia, adres miejsca zamieszkania i adres korespondencyjny, jeżeli jest on inny niż adres miejsca zamieszkania, numer ewidencyjny PESEL – w przypadku obywatela Rzeczypospolitej Polskiej, nazwa, seria i numer dokumentów potwierdzających tożsamość, a w przypadku cudzoziemca, który nie jest obywatelem państwa członkowskiego albo Konfederacji Szwajcarskiej – numer paszportu lub karty pobytu, dane zawarte w dokumentach potwierdzających możliwość wykonania zobowiązania wobec dostawcy publicznie dostępnych usług telekomunikacyjnych wynikającego z umowy o świadczenie usług telekomunikacyjnych) i nie mieszczą się w nim takie dane jak np. wizerunek, wzrost, kolor oczu, adres zameldowania, numer prawa jazdy, kategorie prawa jazdy, data wydania oraz data ważności prawa jazdy. A więc o ile podmiot danych nie wyraził dobrowolnej zgody na przetwarzanie danych niewymienionych w ust. 2 i dane te są niezbędne i wystarczające dla realizacji usług na rzecz podmiotu danych - przedsiębiorca telekomunikacyjny nie może w sposób legalny przetwarzać ich.
Dla porównania, z zupełnie inną sytuacją mamy do czynienia w przypadku art. 112b ustawy z 29 sierpnia 1997 r. prawo bankowe, który wprost zezwala bankom na przetwarzanie wszystkich danych zawartych w dokumentach potwierdzających tożsamość (dowód osobisty, paszport, karta pobytu wydana na rzecz cudzoziemcy) dla celów wykonywania działalności bankowej.
Jaka technika do zastosowania
Zestawiając te dwa przykłady, warto pamiętać, że kwestia techniki utrwalania danych zawartych w dokumentach tożsamości pozostaje bez znaczenia z punktu widzenia adekwatności danych, co potwierdził Naczelny Sąd Administracyjny w wyroku z 19 grudnia 2001 r.. (sygn. akt II SA 2869/00) stwierdzając, że: „Gromadzenie danych osobowych przez wykonanie kopii dokumentu zawierającego te dane jest kwestią techniczną, obojętną dla prawodawcy reglamentującego w ustawie o ochronie danych osobowych przetwarzanie tego rodzaju danych. Inaczej mówiąc, posługiwanie się taką czy inną techniką utrwalania danych (kopiowanie lub przepisywanie) nie przesądza samo przez się o legalności tego utrwalania (przetwarzania). Dla takich ocen istotne znaczenie mają przede wszystkim: podstawa prawna przetwarzania danych (art. 23 ustawy), rodzaj przetwarzanych danych (art. 27) oraz granice przetwarzania (art. 26 ust. l pkt 3)". Podobny pogląd NSA wyraził w wyroku z 7 listopada 2003 r. (sygn. akt II SA 1432/02) uznając, że „ustawa o ochronie danych osobowych nie zajmuje się określaniem techniki gromadzenia danych osobowych, lecz zakresem ich przetwarzania".
Adekwatne stosowne i ograniczone
RODO odwołuje się do zasady adekwatności choćby w motywie 39 preambuły, gdzie wskazuje, że „Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane. Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego i niezbędnego minimum. Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu".
Privacy by design i privacy by default
Oprócz konieczności zweryfikowania zakresu dotychczas przetwarzanych danych, trzeba będzie również przygotować swoją organizację pod kątem realizacji wymogu adekwatności według nowych zasad. Wyrażone w art. 25 RODO zasady privacy by design i privacy by default, konkretyzują zasadę adekwatności zarówno na poziomie technicznym jak i organizacyjnym.