GDPR Minimalizácia údajov pri zdroji: Realtime API ako zákonný povinnosti
GDPR Článok 5(1)(c) — Princíp minimalizácie údajov:
"Osobné údaje musia byť adekvátne, relevantné a obmedzené na to, čo je potrebné v pomere k účelom, na ktoré sa spracúvajú."
To znamená: Zbierajte iba údaje, ktoré potrebujete. Teraz.
Príklady
Zlý (bez minimalizácie): Formulár na registráciu "Vytvoriť firemný účet" si pýta:
- Meno (potrebné)
- Priezvisko (potrebné)
- E-mail (potrebné)
- Adresa (bez zmyslu)
- Telefón (bez zmyslu)
- Narodeniny (bez zmyslu)
- Pohlavie (bez zmyslu)
- Pracovná pozícia (bez zmyslu)
Regulárny: "Zbierajú 9 polí na základné prihlásenie? To je zbiehanie bez minimalizácie."
Dobré (s minimalizáciou): Formulár si pýta:
- Meno
To je všetko. Bez zbytočných polí.
API a CSV
CSV export (problém): Ak váš systém má API, ale exportujete CSV bez filtrov:
user_id, first_name, last_name, email, phone, address, birth_date
1, John, Smith, john@example.com, +49123456, 123 Main St, 1990-05-15
...
RegulAtor: "Prečo export CSV obsahuje čísla narodenia? To nie je potrebné pre tento export."
API s filtrami (správne):
GET /api/users?fields=email,first_name
Returns:
{"users": [{"email": "john@example.com", "first_name": "John"}, ...]}
Regulato: "Ďakujem. API vám umožňuje požiadať si iba e-maily. To je minimalizácia."
Implementácia
Príklady v kóde:
Zlý:
SELECT * FROM users; -- Všetko
Dobre:
SELECT email, first_name FROM users; -- Iba email + meno