Zálohování a „právo být zapomenut“ podle GDPR: Doporučení

(Část druhá ze dvou)

Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) oficiálně vstoupí v platnost 25. května 2018 a je nasnadě ptát se na otázky ohledně práva být zapomenut a dopadu na osobní údaje uložené v zálohovacích archivech. Tyto otázky jsme prozkoumávali v první části příspěvku a teď si povíme, jak s nimi naložit.

Došli jsme k závěru, že lze problematiku dodržování práva subjektu být zapomenut v zálohovacích archivech shrnout do dvou nejdůležitějších otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

 

Osvědčené postupy zacházení s osobními údaji

Acronis má několik osvědčených postupů a produktových funkcí navržených ku pomoci partnerům (včetně MSP nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti sloužící coby správci osobních údajů obyvatel EU) s dodržováním svých nových povinností:

  • • Kde je to možné, správci by měli organizovat zálohy tak, aby pro každý subjekt údajů a jeho osobní údaje existoval samostatný zálohovací archiv.
    • – Jedná se o ideální řešení, protože umožňuje granulární mazání osobních údajů, aniž by byly ovlivněny záznamy ostatních osob.
    • – Naneštěstí je tento přístup pro většinu podniků jen stěží implementovatelným – osobní údaje subjektů jsou totiž často rozptýleny přes několikero aplikací, lokací, úložných zařízení a záloh.
  • • Zálohovací archivy by měly být zabezpečeny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
  • • Když osoba požádá o vymazání jejích osobních údajů, správce by měl být plně transparentní a otevřený o dalším postupu ohledně záloh:
    • – Primární instance jejích údajů v produkčních systémech budou smazány se vší pohotovostí.
    • – Její osobní údaje mohou zůstat v zálohovacích archivech o něco déle – buď protože je nemožné individuální osobní údaje v rámci archivu izolovat nebo protože má správce povinnost údaje déle uchovat kvůli smluvním, právním nebo jiným regulatorním závazkům.
    • – Osoba by měla být ujištěna, že její osobní údaje nebudou obnoveny zpět do produkčních systémů (vyjma některých vzácných případů typu potřeby obnovy po přírodní katastrofě nebo po vážném bezpečnostním narušení – v těchto případech správce podnikne nutné kroky k tomu, aby neporušil původní žádost a znovu tak vymaže údaje z primární instance.
    • – Zálohovací archivy obsahující osobní údaje budou chráněny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
    • – Na místě jsou retenční pravidla, nastavená tak, aby byly osobní údaje v archivech uchovány jen po nezbytně nutnou dobu a poté budou automaticky smazány.
    • – Záznamy o všech žádostech subjektů údajů ohledně jejich osobních údajů budou zachovány, stejně jako auditní protokoly se záznamy o všech aktivitách se zálohovacími archivy obsahujícími osobní údaje. To znamená, že si uživatelé mohou být jisti, že jsou jejich osobní údaje zálohovány v souladu s GDPR zásadami security-by-design-and-by-default a o minimalizaci údajů, a že jejich práva, včetně práva být zapomenut, budou dodržena.

 

Jak dodržuje právo být zapomenut Acronis, když je v roli správce osobních údajů

Acronis bude dodržovat práva všech subjektů údajů ohledně jejich osobních údajů, včetně práva být zapomenut, když už údaje nebudou nadále zapotřebí pro jejich původní účely nebo když uživatel stáhne svůj souhlas se zpracováním. Když je Acronis požádán zákazníkem o výmaz, smažeme jeho osobní údaje (např. jméno, příjmení, poštovní adresy, telefonní čísla) z našich produkčních systémů do 30 dnů, pokud neexistuje právní základ pro jejich další zpracovávání.

Z našich záložních kopií daných osobních údajů v archivech budou údaje smazány, jakmile to bude prakticky proveditelné, do míry, jakou nám dovolují naše další závazky o retenci údajů (např. chránit další údaje uložené ve stejných zálohovacích archivech nebo jiné regulatorní a legální povinnosti). Jakmile budou tyto povinnosti naplněny, permanentně dané údaje smažeme, jak nejrychleji to půjde.

Acronis si rovněž uchová auditní protokoly dokumentující historii všech operací se zákazníkovými osobními údaji po nutnou dobu danou právními povinnostmi. Určité položky, které uživatel může považovat za své osobní údaje, např. příspěvky do komunitních diskuzních fór nebo recenze, mohou být zachovány v souladu s podmínkami poskytované služby, s nimiž daný uživatel souhlasil v momentě, kdy je zveřejňoval. Acronis se bude vždy snažit vyčerpat všechny dostupné prostředky k udržení osobních údajů v bezpečí, nepřístupné pro neautorizované osoby.

 

Závěr

Ať už jste správce, zpracovatel, nebo jste podle GDPR obojím, naplňování práva subjektů údajů být zapomenut je docela přímočaré: pokud se vyskytují v produkčních systémech, musíte je rychle smazat. Kopie stejných údajů uložené v zálohovacích archivech ale mohou být trochu složitějším problémem: rovněž je musíte smazat, co nejrychleji to jde, můžete mít ale zároveň (jiné) povinnosti, uchovat je déle.

Nejjistějším způsobem, jak se vyhnout potencionálnímu porušení dodržování nařízení a souvisejícím tučným pokutám, je dodržovat ty stejné obecné zásady GDPR pro zálohy, jako pro osobní údaje v produkčních systémech:

  • • Podnikněte rozumné kroky k udržení zálohovacích archivů v bezpečí před neoprávněnými zvědavci,
  • • Neuchovávejte archivy déle, než je opravdu nezbytně nutné,
  • • Protokolujte a dokumentujte své zásady, procedury a faktické operace se zálohovacími archivy, abyste mohli vždy prokázat, že jste při dodržování práv subjektů údajů ohledně jejich osobních údajů uložených v zálohách jednali se vší počestností.

Jednejte s uživateli otevřeně a vysvětlujte, proč můžou být jejich osobní údaje zachovány déle, jak je budete udržovat v bezpečí, dokud nebudou smazány a kdy k tomu eventuálně dojde.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

05.12.2024
Jistě jste si všimli, že Vánoce jsou již za rohem a rok 2024 se blíží ke svému konci. Naskýtá se otázka, co ve zbylém čase ještě stihnout? U nás v ZEBRA SYSTEMS bychom nějaké tipy pro vás měli… Protože se neustále úspěšně rozrůstáme a přidáváme řešen ...
05.12.2024
Akvizice navazuje na stávající partnerství s cílem zvýšit odolnost celého IT prostředí a posílit bezpečnost zákazníků PRAHA, 5. prosince 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že společnost N- ...
03.12.2024
Společnost VESTTA BOZP s.r.o. svým klientům nabízí komplexní služby v oblasti bezpečnosti a ochrany zdraví při práci a požární ochraně. Jejími klienty jsou osoby samostatně výdělečně činné, firmy menší a střední velikosti, dále pak státní organizace, ...
27.11.2024
Neschopnost určit klíčové systémy vede k podcenění jejich zabezpečení a ke zvýšení rizik vážných provozních výpadků   PRAHA, 27. listopadu 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že chybné určení kri ...
26.11.2024
Nová aktualizace oceňované cloudové platformy nabízí další služby pro efektivnější MSP provoz PRAHA, 26. listopadu 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, přidal do své MSP platformy Acronis Cyber Protect Cloud řadu nových ...
22.11.2024
Řízené služby ochrany koncových bodů jsou jedním z pilířů ke splnění  kyber bezpečnostních standardů NIS 2  PRAHA, 22. listopadu 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, předs ...
13.11.2024
Certifikační školení Acronis MSP Academy poskytuje cenné znalosti a konkurenční výhodu na trhu PRAHA, 13. listopadu 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, uvedla, partneři společnosti Acronis, kteří prošli školením a certi ...
07.11.2024
Vysoká úroveň zabezpečení e-mailového řešení pomáhá zdravotnickému zařízení mj. vyrovnat se s přísnými bezpečnostními předpisy včetně nároků NIS 2 PRAHA, 7. listopadu 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, ...
30.10.2024
Podle průzkumu GFI Software nevyužívá AI ke své činnosti pouze 26 % poskytovatelů IT PRAHA, 30. října 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že podle jejího dotazování provedeného mezi českými a slo ...
23.10.2024
Nedostatek vhodných IT specialistů na kybernetickou bezpečnost nutí organizace stále více využívat služeb MSP poskytovatelů PRAHA, 23. října 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že v rámci j ...