Zálohování a „právo být zapomenut“ podle GDPR: Co čekat?

(Část první ze dvou)

Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie je na spadnutí: datum přechodu je oficiálně stanoveno na 25. května 2018. V předchozích příspěvcích jsme si vysvětlili většinu nových povinností a rolí, jedna otázka si ale stále zaslouží více pozornosti: takzvané „právo být zapomenut“.

Správce údajů (osoba nebo organizace zpracovávající data) je podle GDPR za určitých okolností povinen nabídnout subjektům údajů (specifický termín používaný v GDPR pro osobu) výmaz neboli možnost uplatnit právo být zapomenut.

Když občan EU uplatní svůj nárok na právo být zapomenut, správce údajů musí vymazat všechny osobní údaje o dané osobě, jimiž disponuje. Okamžitě se ale rýsuje šedá zóna: pokud správce využívá služeb různých zpracovatelů (jako třeba cizích poskytovatelů cloudového úložiště) a část z osobních údajů o subjektu je uložena těmito zpracovateli, kdo zodpovídá za výmaz: správce (který původně shromáždil a nakládal s osobními údaji subjektu) anebo zpracovatel(é)?

Je jasné, že správce zodpovídá za možnost subjektu uplatnit vlastní práva o osobních údajích, včetně:

  • • Přístup (možnost dozvědět se, jaké osobní údaje správce a zpracovatel o dané osobě shromáždili)
  • • Oprava (možnost žádat o opravu jakýchkoli chyb v údajích)
  • • Omezení zpracování
  • • Přenos
  • • Výmaz

Každý zpracovatel využívaný správcem je zároveň povinen mu asistovat formou „vhodných technických a organizačních opatření“ za účelem napomoci v dodržování práv subjektů údajů.

Osoby mají právo žádat výmaz svých osobních údajů pokud:

  • • Údaje už nejsou pro účely, pro které byly sbírány, nezbytné
  • • Subjekt údajů stáhne svůj souhlas se zpracováním jeho údajů a zároveň neexistují jiné legální důvody k dalšímu zpracování; tedy když správce nemůže prokázat nadřazený, legitimní základ pro zpracování
  • • Zpracování je jinak nezákonné

Tyto jsou veškeré podmínky, za jakých musí správce ctít žádost subjektu údajů o výmaz.

 

Víc než jen primární data: právo být zapomenut a datové zálohy

Když osoba uplatňuje své právo být zapomenuta, nejspíše očekává, že budou smazány i záložní kopie jejích osobních údajů. To představuje pro správce a zpracovatele technický problém. Osobní údaje subjektu mohou být rozptýlené napříč mnoha aplikacemi používanými konkrétní společností (např. CRM, systémy automatizovaného marketingu nebo zadávání objednávek, atd.) a distribuované do mnoha lokálních, ale i cloudových úložišť dat. Zálohy asociované s jednotlivými aplikacemi mohou být umístěny v oddělených archivech. Každý zálohovací archiv navíc zpravidla obsahuje údaje z mnoha dalších aplikací/o mnoha dalších uživatelích.

Obyčejně jsou původní data a zálohovací archivy organizovány a cíleně nastaveny tak, aby bylo mazání osobních údajů jediné osoby, bez dopadu na zálohy ostatních aplikací a uživatelů, prakticky neproveditelné. Mazání údajů jediného uživatele může mít negativní následky pro bezpečnost údajů mnoha dalších uživatelů – a efektivně tak dokáže vynulovat jakékoli výhody, jež zálohování přinášelo.

 

Balancování mezi konkurujícími si povinnostmi

Jelikož je Acronis společností zaměřenou na ochranu dat, je povinována zachovávat zálohy i v případě příchozí žádosti o výmaz. Provozujeme celosvětovou síť datových center, ve kterých jsou ukládány zálohovací archivy našich partnerů a zákazníků. Acronis ale nevidí, jaké údaje, ani zdali jsou osobní či jiného charakteru, jsou v datových centrech ukládány.

I kdybychom předpokládali, že většina zálohovacích archivů obsahuje osobní údaje, které budou předmětem žádosti o výmaz, Acronis nemůže modifikaci zálohovacího archivu v mnoha případech dovolit kvůli smluvním či právním závazkům vůči našim klientům a partnerům. V některých případech jde o zachování inherentní funkce zálohování: umožnit obnovu ztracených nebo poškozených dat z přesné kopie, která byla pořízena ve specifický čas. V jiných případech musíme zálohovací archivy našich zákazníků a partnerů zachovávat, protože na ně spoléhají při dodržování vlastních regulatorních a právních závazků.

Například mohou na dokonale zachované zálohy spoléhat pro potřeby vyhovění žádostem o e-discovery v probíhajícím soudním řízení nebo pro dodržování daňových či průmyslových regulací ohledně uchovávání záznamů. V takových případech GDPR uznává, že osobní údaje nemohou být ze záloh odstraněny okamžitě po zpracování žádosti o výmaz, protože mají přednost jiné náležitosti.

 

Povinnosti po obnově

Mějte na paměti, že primární zodpovědnost za dodržování práva na výmaz nesou správci údajů. A jelikož může obnova produkčního systému vést ke znovuzavedení dříve odstraněných údajů, správce musí vyvinout další činnost a zajistit, aby byly dané údaje z produkčního systému po obnově znovu smazány.

Problematika dodržování uživatelova práva být zapomenut se v souvislosti se zálohovacími archivy dá shrnout do dvou otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

Acronis nabízí pár osvědčených postupů – a několik užitečných funkcí v našich produktech a službách na ochranu dat – které pomohou partnerům (včetně poskytovatelů spravovaných služeb nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti plnící roli správců osobních údajů občanů EU) s pokořením těchto neobyčejných výzev vyvstávajících z nutnosti dodržovat GDPR. Tato doporučení a technologie, jež nabízíme ku pomoci, rozebereme ve druhé části tohoto příspěvku.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

26.03.2024
Zabezpečené zálohování a rychlá obnova dat v prostředí Acronis eliminuje dopady případných provozních výpadků PRAHA, 26. března 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, oznámil, že česká společnost Wittmann Battenfeld CZ vyu ...
25.03.2024
  Vítejte ve světě, kde kybernetická bezpečnost není jen módním slovem, ale základním pilířem našich životů. Vítejte v digitální džungli, kde každý klik může být pastí a každý e-mail hrozbou. Zatímco ještě na začátku našeho tisíciletí patřily zkušeno ...
14.03.2024
5 klíčových doporučených opatření pro případ kybernetického útoku PRAHA, 14. března 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že úspěch kybernetického útoku dramaticky roste s podceňováním hrozeb ze st ...
07.03.2024
EDR, zálohování a pravidelné školení je nejefektivnější kombinací kybernetické ochrany PRAHA, 6. března 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, zveřejnil výsledky Acronis Cyberthreats Report, pravidelné půlroční zprávy o ky ...
27.02.2024
3 TB dat uložené v archivačním řešení poskytují autentické a nezpochybnitelné podklady v rámci probíhajících řízení PRAHA, 27. února 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že společnost D.A.S., posk ...
21.02.2024
Nejnovější verze podnikové kybernetické ochrany od Acronis nabízí nejrychlejší obnovu po kybernetickém útoku či ztrátě dat PRAHA, 21. února 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, uvedl Acronis Cyber Protect 16, nejnovější ...
20.02.2024
Nejvíce dotázaných spatřuje možnou pomoc umělé inteligence pro skenování zranitelností   PRAHA, 20. února 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že podle jejího dotazování provedeného mezi českými a ...
13.02.2024
Průzkum provedený ve spolupráci s analytickou společností Canalys nabízí detailní pohled na některé z největších budoucích MSP trendů   PRAHA, 12. února 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, představ ...
08.02.2024
Možnosti osobního rozvoje snižují pravděpodobnost odchodu z firmy u více než 90 % pracovníků PRAHA, 8. února 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, oznámil rozšíření Acronis MSP Academy, jejímž cílem je umožnit poskytovate ...
02.02.2024
Akciová společnost UNIKOM Kutná Hora je podnikem působícím v oblasti středočeského kraje. Společnost má široký rozsah činností z oblasti výroby, prodeje a služeb. K jejím hlavní činnostem patří prodej automobilů pro značky KIA, Citroen, Škoda a MG, d ...