Co je to zásada minimalizace osobních údajů dle GDPR?

1. Právní základ a definice

• Zásada minimalizace údajů je zakotvena v čl. 5 odst. 1 písm. c) nařízení GDPR
• Osobní údaje musí být přiměřené, relevantní a omezené na nezbytný rozsah
• Omezení se vztahuje výhradně k konkrétnímu účelu zpracování
• Zásada představuje jeden ze základních principů ochrany osobních údajů v rámci evropského právního řádu
• GDPR tuto zásadu označuje souhrnným pojmem „minimalizace údajů“ (data minimisation)

2. Tři klíčové podmínky zásady

2.1 Přiměřenost (adequate)

• Zpracovávané údaje musí být věcně úměrné sledovanému účelu
• Správce musí prokázat, že rozsah zpracování odpovídá legitimitě účelu
• Přiměřenost se hodnotí individuálně v každém konkrétním případě zpracování
• Nestačí obecné odůvodnění – správce musí být schopen konkrétně doložit proporcionalitu

2.2 Relevantnost (relevant)

• Zpracovávané údaje musí mít přímou věcnou vazbu na účel zpracování
• Údaje, které s účelem nesouvisí ani nepřímo, nesmí být zpracovávány
• Správce je povinen pravidelně přezkoumávat relevanci shromažďovaných dat
• Relevantnost je nutné posuzovat dynamicky – v průběhu času se může měnit

2.3 Omezení na nezbytný rozsah (limited to what is necessary)

• Jedná se o tzv. princip „need-to-know“ – zpracovávají se pouze údaje nezbytně nutné
• Správce nesmí shromažďovat údaje „pro případ, že by se jednou hodily“
• Jde o nejpřísnější ze tří podmínek, která nejčastěji bývá v praxi porušována
• Nezbytnost se vždy posuzuje ve vztahu k legitimnímu a předem definovanému účelu

3. Vztah k zásadě účelového omezení

• Zásada minimalizace a zásada účelového omezení (čl. 5 odst. 1 písm. b) GDPR) jsou neoddělitelně propojeny
• Bez jasně stanoveného účelu nelze posoudit, zda jsou údaje minimalizovány správně
• Účel musí být výslovný, legitimní a předem určený – teprve poté lze hodnotit minimalizaci
• Změna účelu zpracování automaticky vyžaduje nové posouzení rozsahu zpracovávaných dat
• Obě zásady společně tvoří základní ochranný mechanismus před nadměrným sběrem dat

4. Praktické povinnosti správce údajů

• Správce je povinen před zahájením zpracování provést analýzu nezbytnosti jednotlivých kategorií dat
• Součástí dobré praxe je vypracování a udržování záznamu o činnostech zpracování (čl. 30 GDPR)
• Správce musí nastavit technická a organizační opatření zajišťující faktickou minimalizaci
• Povinností je také pravidelný audit zpracovávaných datových kategorií s přezkoumáváním jejich nezbytnosti
• V rámci posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 GDPR musí být minimalizace explicitně zohledněna
• Správce musí být schopen prokázat soulad s touto zásadou (accountability principle, čl. 5 odst. 2 GDPR)

5. Princip Privacy by Design a Privacy by Default

• Minimalizace údajů je klíčovou součástí konceptu záměrné a standardní ochrany osobních údajů dle čl. 25 GDPR
• Privacy by Design vyžaduje, aby minimalizace byla zohledněna již při návrhu systémů a procesů
• Privacy by Default znamená, že výchozí nastavení systémů musí automaticky zajišťovat minimální rozsah zpracování
• Správce nesmí přenášet odpovědnost za minimalizaci na samotné subjekty údajů
• Technická implementace zahrnuje např. pseudonymizaci, anonymizaci nebo agregaci dat

6. Nejčastější porušení zásady v praxi

• Nadměrný sběr dat při registraci uživatelů nad rámec nezbytného rozsahu
• Uchovávání osobních údajů po skončení účelu zpracování bez právního titulu
• Shromažďování citlivých kategorií údajů (čl. 9 GDPR) bez jejich skutečné nezbytnosti
• Používání rozsáhlých analytických nástrojů sbírajících data bez jasného účelu
• Sdílení nadměrného objemu dat s třetími stranami nebo zpracovateli
• Uchovávání kopií dokumentů obsahujících irelevantní osobní údaje

7. Sankce za porušení zásady minimalizace

• Porušení zásady minimalizace údajů představuje závažné porušení GDPR
• Správní sankce mohou dosáhnout až 20 000 000 EUR nebo 4 % celkového ročního obratu společnosti (čl. 83 odst. 5 GDPR), podle toho, která hodnota je vyšší
• Dozorové orgány (v ČR Úřad pro ochranu osobních údajů – ÚOOÚ) jsou oprávněny ukládat nápravná opatření a zákazy zpracování
• Subjekty údajů mají právo na náhradu škody dle čl. 82 GDPR v případě způsobené újmy
• Opakovaná nebo závažná porušení mohou vést k reputačním škodám a ztrátě důvěry veřejnosti

8. Doporučená opatření pro zajištění souladu

• Vypracovat datový inventář (data mapping) mapující veškeré toky osobních údajů
• Nastavit retenční politiku stanovující maximální dobu uchování jednotlivých kategorií dat
• Implementovat automatizované mechanismy mazání dat po uplynutí retenční lhůty
• Pravidelně školit zaměstnance v oblasti zásad ochrany osobních údajů
• Zavést interní procesy přezkumu nezbytnosti zpracování při každé změně systémů nebo procesů
• Spolupracovat s pověřencem pro ochranu osobních údajů (DPO) při hodnocení souladu s GDPR
• Při výběru zpracovatelů vyžadovat smluvní záruky dodržování zásady minimalizace dle čl. 28 GDPR

9. Judikatura a rozhodovací praxe

• Evropský sbor pro ochranu osobních údajů (EDPB) vydal řadu pokynů a stanovisek upřesňujících aplikaci zásady minimalizace v konkrétních sektorech
• Národní dozorové orgány napříč EU opakovaně sankcionovaly správce za nepřiměřený rozsah zpracovávaných údajů
• Judikatura Soudního dvora EU (SDEU) potvrzuje, že minimalizace je absolutní povinností, nikoliv pouze doporučením
• Rozhodnutí v oblasti behaviorální reklamy a cookies zdůraznila nutnost striktní aplikace zásady i v digitálním prostředí
• ÚOOÚ v České republice vydal metodická doporučení reflektující tuto zásadu v kontextu českého právního řádu

Mohlo by vás také zajímat: Jak nakládat s kopiemi rodných listů dokládaných zaměstnancem? Na co se vztahuje povinnost mlčenlivosti?