Načelo "smanjenja količine podataka", jedno je od temeljnih načela obrade osobnih podataka propisanih
Općom uredbom o zaštiti podataka (GDPR), definirano u članku 5. stavku 1. točki (c) Uredbe. Ovo načelo, poznato i kao načelo minimizacije podataka, zahtijeva da obrada osobnih podataka bude ograničena na najmanju količinu podataka potrebnu za postizanje svrhe obrade.
Prema ovom načelu, osobni podaci moraju biti:
- primjereni – dostatni za ostvarenje svrhe obrade,
- relevantni – izravno povezani s legitimnom svrhom obrade,
- ograničeni na ono što je nužno – obrada mora biti ograničena samo na podatke koji su neophodni za postizanje konkretne svrhe.
Što znači načelo "smanjenja količine podataka" u praksi?
Načelo smanjenja količine podataka zahtijeva da voditelj obrade prikuplja samo one osobne podatke koji su potrebni za postizanje jasno određene svrhe obrade. To znači da svaki put kada se planira prikupljanje podataka – bilo na temelju privole, izvršavanja ugovora, pružanja usluge ili legitimnih interesa – voditelj obrade mora pažljivo procijeniti je li svaki pojedini podatak neophodan za tu svrhu.
Ako određeni podatak nije nužan za postizanje cilja, njegovo prikupljanje nije opravdano i predstavlja povredu ovog načela.
Osim toga, u situacijama kada voditelj obrade nema slobodu odlučivanja o vrsti i opsegu podataka koji se prikupljaju – primjerice, kada je prikupljanje osobnih podataka propisano pravnom normom – i dalje mora postupati pažljivo. Konkretno, potrebno je izbjegavati neopravdano dupliciranje podataka, poput dokumenata ili isprava koje su već prikupljene i pohranjene u sustavu.
Za bolje razumijevanje, načelo ćemo detaljnije objasniti kroz jasne i praktične primjere.
Primjena načela kod privole
Voditelji obrade često pogrešno pretpostavljaju da privola omogućuje prikupljanje bilo kojih podataka o ispitaniku. Međutim, čak i uz privolu, prikupljeni podaci moraju biti strogo ograničeni na one koji su potrebni za ostvarenje specifične svrhe.
Primjer: Ako privolu koristite za prikupljanje e-mail adrese u svrhu slanja newslettera, dodatni podaci poput kontakt broja telefona, članova obitelji ili adrese prebivališta predstavljali bi prekomjernu obradu jer nisu potrebni za dostavu newslettera.
Primjena načela kod izvršavanja ugovora ili pružanja usluge
Kada se osobni podaci obrađuju radi izvršenja ugovora ili pružanja usluge, voditelj obrade smije prikupljati samo podatke koji su neophodni za realizaciju ugovornog odnosa.
Primjer: Ako putem kontakt forme na web stranici omogućujete korisnicima postavljanje općenitih upita o vašim proizvodima ili uslugama, obično su dovoljni samo ime i e-mail adresa. Prikupljanje dodatnih podataka poput prezimena, adrese stanovanja, kontakt broja telefona ili drugih osobnih informacija predstavlja prekomjernu obradu, jer ti podaci nisu nužni za opći odgovor na upit.
Primjena načela kod legitimnih interesa
Kod obrade osobnih podataka temeljene na legitimnim interesima voditelja obrade, primjena načela smanjenja količine podataka zahtijeva pažljivu procjenu koji su podaci strogo nužni za postizanje legitimnog cilja.
Primjer: Ako se video-nadzor koristi za zaštitu ljudi i imovine, područje snimanja mora biti ograničeno na prostor koji je nužan za zaštitu (npr. ulaz u poslovni prostor ili skladište). Snimanje unutarnjih hodnika, uredskih prostora ili drugih područja koja nisu ključna za sigurnost ljudi i imovine predstavljalo bi nepotrebnu i neproporcionalnu obradu, kršeći tako načelo smanjenja količine podataka.
Izuzeci od primjene načela smanjenja količine podataka
Važno je istaknuti da se načelo smanjenja količine podataka primjenjuje samo na obrade u kojima voditelj obrade ima ovlast utvrđivati svrhu i opseg prikupljenih podataka. Ovo načelo je relevantno za obrade temeljene na članku 6. stavak 1. točke:
- (a) – privola ispitanika,
- (b) – izvršenje ugovora ili pružanje usluge,
- (f) – legitimni interesi voditelja obrade ili treće strane.
Kada zakonodavac propisuje obradu osobnih podataka, odgovornost za poštivanje načela proporcionalnosti i nužnosti leži isključivo na zakonodavcu, dok voditelj obrade nije ovlašten mijenjati niti ograničavati propisani opseg obrade.
Međutim, prilikom primjene zakonskih normi može doći do situacija koje rezultiraju prekomjernom obradom osobnih podataka, ali ne u klasičnom smislu, tj. ne u pogledu vrste podataka, već u njihovom nepotrebnom dupliciranju. Primjerice, to se događa kada različiti propisi zahtijevaju prikupljanje istog dokumenta, poput kopije osobne iskaznice. U takvim slučajevima, dokument se prikuplja samo na temelju jedne zakonske osnove, a ne za svaku propisanu osnovu zasebno.
Primjer 1: Bankarstvo
Banka prikuplja kopiju osobne iskaznice klijenta prilikom otvaranja tekućeg računa. Ako isti klijent kasnije zatraži otvaranje deviznog računa, a postupak također zahtijeva kopiju osobne iskaznice, ponovno prikupljanje tog dokumenta bilo bi neopravdano i prekomjerno. Banka već posjeduje valjanu kopiju osobne iskaznice pohranjenu u svom sustavu. Ovakva praksa kršila bi načelo smanjenja količine podataka, jer je nepotrebno duplicirati već prikupljene podatke, osim ako ne postoji opravdana svrha, poput promjene podataka ili zakonskog ažuriranja dokumentacije.
Primjer 2: Radni odnos
Poslodavac prikuplja kopiju osobnog dokumenta zaposlenika prilikom sklapanja ugovora o radu i realizacije radnog odnosa. Ako bi poslodavac ponovno tražio kopiju osobne iskaznice zaposlenika radi utvrđivanja visine putnih troškova od kuće do posla i obrnuto, to bi također predstavljalo neopravdano i prekomjerno prikupljanje podataka. I u ovom slučaju, javna isprava kojom se dokazuje prebivalište zaposlenika već je dostavljena i pohranjena kod poslodavca, te bi njeno ponovno prikupljanje bilo suvišno, osim u slučaju opravdanih razloga, poput promjene adrese prebivališta.
Načelo smanjenja količine podataka osigurava da se osobni podaci obrađuju na način koji je strogo proporcionalan i primjeren svrsi obrade. Ovo načelo ima poseban značaj kod obrada temeljenih na privoli, izvršenju ugovora ili legitimnim interesima, gdje voditelji obrade moraju pokazati visok stupanj odgovornosti i pažnje kako bi ograničili prikupljanje podataka na ono što je zaista nužno. Istodobno, u slučajevima obrade propisane zakonom, zakonodavac ima ulogu u osiguravanju da propisani zahtjevi za obradom osobnih podataka budu u skladu s načelom smanjenja količine podataka. Voditelji obrade u tom slučaju trebaju osigurati da ne dupliciraju već prikupljene dokumente i isprave, osim ako za to ne postoji opravdana svrha, jer bi takvo dupliciranje moglo predstavljati povredu ovog načela.
Pripremila: Ines Krečak Data Protection Professional
Istaknuto:
Istaknute usluge:
