Niechciane dane osobowe - jak z nimi postępować?
Jako dane niechciane należy rozumieć te dane, które znalazły się u administratora danych osobowych (ADO), chociaż nie zamierzał lub nie powinien ich przetwarzać. Jest to dokumentacja, o którą administrator danych nie wnioskował. Do takiej kategorii danych osobowych zaliczają się nie tylko dane osobowe, które wysłane zostały do administratora przez pomyłkę, ale także dane osobowe, których minął dopuszczalny okres ich przetwarzania lub cel ich przetwarzania wygasł.
RODO wymaga, aby przetwarzane dane osobowe były adekwatne, stosowne oraz ograniczone do tego, co niezbędne do celów, w których są przetwarzane tzw. minimalizacja danych (art. 5 ust. 1 lit. c RODO), a także zbierane w konkretnych, wyraźnych i prawnie uzasadnionych celach i nieprzetwarzane dalej w sposób niezgodny z tymi celami (art. 5 ust. 1 lit. b RODO).
Obowiązkiem administratora danych osobowych (ADO) jest dokonanie analizy, czy dokument, zawierający dane osobowe został przesłany nadmiarowo lub pomyłkowo. Administrator danych osobowych w zależności od wyników analizy — zwraca lub pozostawia dokument. ADO informuje o tym osobę, od której dokument otrzymał.
Zwrócenie dokumentu to także konieczność usunięcia danych osobowych, które zostały umieszczone w bazie danych ADO. Wszystkie kopie dokumentu należy trwale zniszczyć. Warto także opracować procedurę postępowania z danymi niechcianymi i w regularnych odstępach czasu, na jej podstawie określać, które informacje należy usunąć.