Zasady przetwarzania danych osobowych stanowią trzon przepisów dotyczących ochrony danych osobowych. Wiążą się ściśle z przepisami szczegółowymi nakładającymi na podmioty uczestniczące w procesie przetwarzania danych określone obowiązki. Zasady określają zakres oraz sposób realizacji poszczególnych obowiązków. 

Jedną z zasad przetwarzania danych, która nastręcza administratorom danych sporo problemów jest zasada minimalizacji danych.

Na czym polega zasada minimalizacji danych?

Zgodnie z zasadą minimalizacji danych administrator danych może przetwarzać tylko takie dane, które są niezbędne do realizacji ustalonego (wyraźnie skonkretyzowanego) celu przetwarzania. Zasada minimalizacji danych wiąże się ściśle z inną zasadą przetwarzania danych – zasadą celowości.

Zgodnie z motywem 39 RODO:

(…) konkretne cele przetwarzania danych osobowych powinny być wyraźne, uzasadnione i określone w momencie ich zbierania. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane (…). Dane osobowe powinny być przetwarzane tylko w przypadkach, gdy celu przetwarzania nie można w rozsądny sposób osiągnąć innymi sposobami (…). 

Przykład:

Administrator danych chce zbudować bazę odbiorców informacji marketingowych. Planuje wysyłać informacje marketingową drogą e-mail oraz poprzez wiadomości SMS. W tym celu administrator zbiera wypełniane formularze zgód marketingowych. W formularzu konieczne (obligatoryjne) jest wypełnienie pól imię, nazwisko, numer telefonu, adres e-mail, adres zamieszkania, data urodzenia. Powyższy zakres danych jest nadmiarowy. Nie ma potrzeby gromadzenia daty urodzenia czy adresu zamieszkania do wysłania informacji marketingowej drogą elektroniczną.

Jak stosować zasadę minimalizacji danych w praktyce?

Przy planowaniu nowego projektu, który wiąże się z przetwarzaniem danych, administrator musi wdrożyć odpowiednie środki techniczne i organizacyjne. Powinny zapewnić przetwarzanie wyłącznie danych niezbędnych do osiągnięcia ustalonego celu.

Przykłady:

• korzystasz z wzoru umowy – ustal jakie dane kontrahenta są niezbędne do realizacji umowy (CEL) i tylko takie dane jako obligatoryjne wpisz w jej komparycji;
• korzystasz z formularzy internetowych – ustal czemu służy formularz (CEL), jakie dane osoby wypełniającej formularz są niezbędne do realizacji celu, w którym formularz jest zbierany i tylko takich danych wymagaj (traktuj jako obligatoryjne);
• świadczysz usługę prowadzenia konta (np. konta w sklepie internetowym) – ustal jakie funkcje są niezbędne do prowadzenia konta (CEL) i jakie dane usługobiorcy są niezbędne do tego, aby z tych funkcji  korzystać.

W ramach projektu można realizować również dodatkowe cele, dla których osiągnięcia trzeba pozyskać dodatkowe dane osobowe.

Przykład:

Posiadacze konta w sklepie internetowym mogą otrzymywać za ich zgodą rabaty urodzinowe. Do realizacji tego celu niezbędna jest wiedza o dacie urodzenia klienta. W takiej sytuacji w formularzu służącym do założenia konta może pojawić się pole na wpisanie daty urodzenia.  Jego wypełnienie musi być jednak fakultatywne. W formularzu należy wyraźnie wskazać, które dane trzeba wypełnić, aby założyć konto i korzystać z jego funkcjonalności (np. oznaczyć je gwiazdką). Trzeba także określić, które dane są fakultatywne, gdyż wiążą się one z realizacją innego, podrzędnego celu. Ważne, aby wyraźnie zakomunikować ten dodatkowy cel.

Stanowisko Europejskiej Rady Ochrony Danych

4 grudnia 2025 r. EROD wydała rekomendacje, w których zajęła stanowisko w kwestii wymuszania od użytkowników stron e-commerce zakładania kont. Jednym z poruszanych przez EROD wątków była zasada minimalizacji danych. W ocenie EROD wymaganie od użytkownika np. sklepu internetowego założenia konta, w sytuacji, gdy istnieje możliwość dokonania zakupów w charakterze gościa, może stanowić naruszenie tej zasady. W rekomendacjach EROD wskazała, że wymóg utworzenia konta użytkownika skutkuje koniecznością przetwarzania większej liczby danych, w tym danych uwierzytelniających, które nie są niezbędne do zawarcia i realizacji umowy sprzedaży.

Podsumowanie

Każdy administrator danych osobowych musi znać określone w RODO zasady ich przetwarzania. Znajomość zasad wzbudza czujność na różne aspekty związane z przetwarzaniem danych i ułatwia proces wdrażania RODO w organizacji. Przestrzeganie zasady minimalizacji danych pozwala na przetwarzanie danych wyłącznie w zakresie niezbędnym do ustalonych celów. To z kolei zmniejsza ryzyko ewentualnych naruszeń. Znajomość i przestrzeganie zasad ochrony danych osobowych stanowi przede wszystkim realizację obowiązków prawnych. Warto też pamiętać, że pozwala budować zaufanie klientów.

radca prawny Patrycja Wasilewska, szefowa praktyki prawa ochrony danych osobowych