Problém shody s minimalizací dat
GDPR článek 5(1)(c) vyžaduje, aby osobní data byla „přiměřená, relevantní a omezená na to, co je nezbytné ve vztahu k účelům, pro které jsou zpracovávána." Toto je princip minimalizace dat — a většina organizací ho porušuje nikoli z nedbalosti, ale kvůli návrhu formulářů.
Pole s volným textem ve webových aplikacích hromadí PII, která tam nikdy neměla být:
- Pole „důvod kontaktu" v ticketech technické podpory vyplněná lékařskými historkami, čísly pojistek a údaji o rodinných příslušnících
- Sekce „jiné komentáře" v průzkumech obsahující celá jména, adresy a čísla sociálního zabezpečení
- Pole zpětné vazby vyplněná platebními informacemi a přihlašovacími údaji
Jakmile jsou tato data v databázi, máte povinnost je chránit — i když jste je nikdy nepotřebovali.
Tradiční přístup: Zpracování po sběru
Většina organizací řeší minimalizaci dat zpětně:
- Uživatel odešle formulář s nadměrnou PII
- Data vstoupí do databáze
- Tým ochrany soukromí periodicky spouští detekci PII
- Nalezená PII je anonymizována nebo smazána
Problémy s tímto přístupem:
- PII je v databázi po dobu hodin až dnů, než je detekována
- Detekce po sběru zachytí ~85 % nadměrné PII; zbývajících 15 % zůstane
- Cena zpracování nadměrné PII přesahuje cenu zabránění jejímu vstupu
- Záznamy auditů vykazují nadměrný sběr jako systémový vzor — přesně to, co DPA hledá
Detekce v reálném čase: Zabraňte vstupu, ne jen zpracování
Integrace API v reálném čase zachytí PII při odeslání formuláře — před vstupem dat do úložiště:
POST /api/analyze
{
"text": "Mám problémy se svým účtem. Jsem Jan Novák,
rodné číslo 123456/1234, e-mail jan.novak@email.cz",
"language": "cs",
"entities": ["PERSON", "EMAIL_ADDRESS", "CZ_PERSONAL_ID"]
}
Odpověď:
{
"entities": [
{"type": "PERSON", "text": "Jan Novák", "score": 0.98},
{"type": "CZ_PERSONAL_ID", "text": "123456/1234", "score": 0.99},
{"type": "EMAIL_ADDRESS", "text": "jan.novak@email.cz", "score": 0.99}
]
}
Aplikace pak může: (a) odmítnout odeslání a zobrazit uživateli pokyny, (b) automaticky anonymizovat před uložením, nebo (c) označit pro manuální přezkum.
Implementační vzory
Vzor 1: Blokování formuláře Nejpřísnější přístup — uživatelé nemohou odeslat formuláře obsahující PII mimo volitelná přihlašovací pole. Vhodné pro: průzkumy, zpětná vazba, lístek podpory.
Vzor 2: Anonymizace před uložením Formulář přijímá jakékoli odeslání, ale ukládá automaticky anonymizovanou verzi. Vhodné pro: integrace CRM, systémy tiketů.
Vzor 3: Označení pro přezkum Odeslání s PII je uloženo v karanténní frontě; agent přezkum rozhodne, zda je PII nezbytná. Vhodné pro: zákaznická podpora, kde je PII někdy relevantní.
Kvantifikace efektu minimalizace
Organizace implementující detekci PII v reálném čase v polích zpětné vazby hlásí:
| Metrika | Před | Po |
|---|---|---|
| Nadměrná PII na 1 000 odeslání | ~340 | ~18 |
| Náklady na zpracování PII (čištění) | €2 200/měsíc | €140/měsíc |
| Průměrná doba expozice dat | 4,7 dne | 0 dní |
| Výsledky auditu | 4 zjištění/rok | 0 zjištění/rok |
Zdroje: GDPR článek 5 — zásady zpracování · Pokyny EDPB k minimalizaci dat · ICO pokyny k minimalizaci dat