Zálohování a „právo být zapomenut“ podle GDPR: Co čekat?

(Část první ze dvou)

Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie je na spadnutí: datum přechodu je oficiálně stanoveno na 25. května 2018. V předchozích příspěvcích jsme si vysvětlili většinu nových povinností a rolí, jedna otázka si ale stále zaslouží více pozornosti: takzvané „právo být zapomenut“.

Správce údajů (osoba nebo organizace zpracovávající data) je podle GDPR za určitých okolností povinen nabídnout subjektům údajů (specifický termín používaný v GDPR pro osobu) výmaz neboli možnost uplatnit právo být zapomenut.

Když občan EU uplatní svůj nárok na právo být zapomenut, správce údajů musí vymazat všechny osobní údaje o dané osobě, jimiž disponuje. Okamžitě se ale rýsuje šedá zóna: pokud správce využívá služeb různých zpracovatelů (jako třeba cizích poskytovatelů cloudového úložiště) a část z osobních údajů o subjektu je uložena těmito zpracovateli, kdo zodpovídá za výmaz: správce (který původně shromáždil a nakládal s osobními údaji subjektu) anebo zpracovatel(é)?

Je jasné, že správce zodpovídá za možnost subjektu uplatnit vlastní práva o osobních údajích, včetně:

  • • Přístup (možnost dozvědět se, jaké osobní údaje správce a zpracovatel o dané osobě shromáždili)
  • • Oprava (možnost žádat o opravu jakýchkoli chyb v údajích)
  • • Omezení zpracování
  • • Přenos
  • • Výmaz

Každý zpracovatel využívaný správcem je zároveň povinen mu asistovat formou „vhodných technických a organizačních opatření“ za účelem napomoci v dodržování práv subjektů údajů.

Osoby mají právo žádat výmaz svých osobních údajů pokud:

  • • Údaje už nejsou pro účely, pro které byly sbírány, nezbytné
  • • Subjekt údajů stáhne svůj souhlas se zpracováním jeho údajů a zároveň neexistují jiné legální důvody k dalšímu zpracování; tedy když správce nemůže prokázat nadřazený, legitimní základ pro zpracování
  • • Zpracování je jinak nezákonné

Tyto jsou veškeré podmínky, za jakých musí správce ctít žádost subjektu údajů o výmaz.

 

Víc než jen primární data: právo být zapomenut a datové zálohy

Když osoba uplatňuje své právo být zapomenuta, nejspíše očekává, že budou smazány i záložní kopie jejích osobních údajů. To představuje pro správce a zpracovatele technický problém. Osobní údaje subjektu mohou být rozptýlené napříč mnoha aplikacemi používanými konkrétní společností (např. CRM, systémy automatizovaného marketingu nebo zadávání objednávek, atd.) a distribuované do mnoha lokálních, ale i cloudových úložišť dat. Zálohy asociované s jednotlivými aplikacemi mohou být umístěny v oddělených archivech. Každý zálohovací archiv navíc zpravidla obsahuje údaje z mnoha dalších aplikací/o mnoha dalších uživatelích.

Obyčejně jsou původní data a zálohovací archivy organizovány a cíleně nastaveny tak, aby bylo mazání osobních údajů jediné osoby, bez dopadu na zálohy ostatních aplikací a uživatelů, prakticky neproveditelné. Mazání údajů jediného uživatele může mít negativní následky pro bezpečnost údajů mnoha dalších uživatelů – a efektivně tak dokáže vynulovat jakékoli výhody, jež zálohování přinášelo.

 

Balancování mezi konkurujícími si povinnostmi

Jelikož je Acronis společností zaměřenou na ochranu dat, je povinována zachovávat zálohy i v případě příchozí žádosti o výmaz. Provozujeme celosvětovou síť datových center, ve kterých jsou ukládány zálohovací archivy našich partnerů a zákazníků. Acronis ale nevidí, jaké údaje, ani zdali jsou osobní či jiného charakteru, jsou v datových centrech ukládány.

I kdybychom předpokládali, že většina zálohovacích archivů obsahuje osobní údaje, které budou předmětem žádosti o výmaz, Acronis nemůže modifikaci zálohovacího archivu v mnoha případech dovolit kvůli smluvním či právním závazkům vůči našim klientům a partnerům. V některých případech jde o zachování inherentní funkce zálohování: umožnit obnovu ztracených nebo poškozených dat z přesné kopie, která byla pořízena ve specifický čas. V jiných případech musíme zálohovací archivy našich zákazníků a partnerů zachovávat, protože na ně spoléhají při dodržování vlastních regulatorních a právních závazků.

Například mohou na dokonale zachované zálohy spoléhat pro potřeby vyhovění žádostem o e-discovery v probíhajícím soudním řízení nebo pro dodržování daňových či průmyslových regulací ohledně uchovávání záznamů. V takových případech GDPR uznává, že osobní údaje nemohou být ze záloh odstraněny okamžitě po zpracování žádosti o výmaz, protože mají přednost jiné náležitosti.

 

Povinnosti po obnově

Mějte na paměti, že primární zodpovědnost za dodržování práva na výmaz nesou správci údajů. A jelikož může obnova produkčního systému vést ke znovuzavedení dříve odstraněných údajů, správce musí vyvinout další činnost a zajistit, aby byly dané údaje z produkčního systému po obnově znovu smazány.

Problematika dodržování uživatelova práva být zapomenut se v souvislosti se zálohovacími archivy dá shrnout do dvou otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

Acronis nabízí pár osvědčených postupů – a několik užitečných funkcí v našich produktech a službách na ochranu dat – které pomohou partnerům (včetně poskytovatelů spravovaných služeb nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti plnící roli správců osobních údajů občanů EU) s pokořením těchto neobyčejných výzev vyvstávajících z nutnosti dodržovat GDPR. Tato doporučení a technologie, jež nabízíme ku pomoci, rozebereme ve druhé části tohoto příspěvku.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

10.10.2024
Jako klíčové nástroje pro splnění evropské směrnice jsou považovány zálohování/obnova a ochrana koncových bodů PRAHA, 9. října 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představil výsledky dotazování mezi svými českými a slov ...
27.09.2024
Phisihing s využitím AI, sofistikované ransomwarové útoky, ale také požadavky směrnice NIS 2 zvyšují nároky na úroveň kybernetického zabezpečení PRAHA, 26. září 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, ...
24.09.2024
AI komponenta v řešení Kerio Connect a GFI MailEssentails přinese revoluční možnosti  ve využívání podnikových e-mailů PRAHA, 24. září 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, představila budoucnost svých pro ...
17.09.2024
V ČR a na Slovensku oceňovaný MSP software nabízí další služby důležité pro ochranu zákazníků PRAHA, 17. září 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, přidal do své MSP platformy Acronis Cyber Protect Cloud řadu dalších nový ...
27.08.2024
SMB organizace se snaží mezery v bezpečnosti řešit manuálně a s pomocí neúplných nástrojů, což značně zatěžuje firemní zdroje     PRAHA, 27. srpna 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, představila 5 nejčas ...
23.08.2024
Nová verze oceňovaného nástroje kybernetické bezpečnosti a ochrany dat nabízí široké možnosti pořízení včetně předplatného či trvalé licence PRAHA, 23. srpna 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představuje na českém a s ...
19.08.2024
Počet volných IT pozic dále roste, neobsazené zůstávají v průměru téměř 8 měsíců PRAHA, 19. srpna 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že roste počet neobsazených pozic v oblasti IT správy k ...
12.08.2024
Partnerství mezi Acronis a EQT, globální investiční organizací, vychází ze společné vize růstu, rychlejšího rozšiřování platformy kybernetické ochrany a zaměření se na služby zákazníkům PRAHA, 12. srpna 2024 – Společnost Acronis, globální lídr v obla ...
08.08.2024
Kombinace obou řešení nabízí společnou platformu pro řízení hrozeb a monitoring sítí PRAHA, 8. srpna 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvádí komplexní nabídku pro správu a bezpečnost provozu firemních ...
30.07.2024
Pravidelný Acronis Cyberthreats Report zveřejnil data získaná za první polovinu roku 2024   PRAHA, 30. července 2024 - Společnost Acronis, globální lídr v oblasti kybernetické bezpečnosti a ochrany dat, dnes zveřejnila nové výsledky výzkumu z první p ...