Zálohování a „právo být zapomenut“ podle GDPR: Co čekat?

(Část první ze dvou)

Obecné nařízení o ochraně osobních údajů (GDPR) Evropské unie je na spadnutí: datum přechodu je oficiálně stanoveno na 25. května 2018. V předchozích příspěvcích jsme si vysvětlili většinu nových povinností a rolí, jedna otázka si ale stále zaslouží více pozornosti: takzvané „právo být zapomenut“.

Správce údajů (osoba nebo organizace zpracovávající data) je podle GDPR za určitých okolností povinen nabídnout subjektům údajů (specifický termín používaný v GDPR pro osobu) výmaz neboli možnost uplatnit právo být zapomenut.

Když občan EU uplatní svůj nárok na právo být zapomenut, správce údajů musí vymazat všechny osobní údaje o dané osobě, jimiž disponuje. Okamžitě se ale rýsuje šedá zóna: pokud správce využívá služeb různých zpracovatelů (jako třeba cizích poskytovatelů cloudového úložiště) a část z osobních údajů o subjektu je uložena těmito zpracovateli, kdo zodpovídá za výmaz: správce (který původně shromáždil a nakládal s osobními údaji subjektu) anebo zpracovatel(é)?

Je jasné, že správce zodpovídá za možnost subjektu uplatnit vlastní práva o osobních údajích, včetně:

  • • Přístup (možnost dozvědět se, jaké osobní údaje správce a zpracovatel o dané osobě shromáždili)
  • • Oprava (možnost žádat o opravu jakýchkoli chyb v údajích)
  • • Omezení zpracování
  • • Přenos
  • • Výmaz

Každý zpracovatel využívaný správcem je zároveň povinen mu asistovat formou „vhodných technických a organizačních opatření“ za účelem napomoci v dodržování práv subjektů údajů.

Osoby mají právo žádat výmaz svých osobních údajů pokud:

  • • Údaje už nejsou pro účely, pro které byly sbírány, nezbytné
  • • Subjekt údajů stáhne svůj souhlas se zpracováním jeho údajů a zároveň neexistují jiné legální důvody k dalšímu zpracování; tedy když správce nemůže prokázat nadřazený, legitimní základ pro zpracování
  • • Zpracování je jinak nezákonné

Tyto jsou veškeré podmínky, za jakých musí správce ctít žádost subjektu údajů o výmaz.

 

Víc než jen primární data: právo být zapomenut a datové zálohy

Když osoba uplatňuje své právo být zapomenuta, nejspíše očekává, že budou smazány i záložní kopie jejích osobních údajů. To představuje pro správce a zpracovatele technický problém. Osobní údaje subjektu mohou být rozptýlené napříč mnoha aplikacemi používanými konkrétní společností (např. CRM, systémy automatizovaného marketingu nebo zadávání objednávek, atd.) a distribuované do mnoha lokálních, ale i cloudových úložišť dat. Zálohy asociované s jednotlivými aplikacemi mohou být umístěny v oddělených archivech. Každý zálohovací archiv navíc zpravidla obsahuje údaje z mnoha dalších aplikací/o mnoha dalších uživatelích.

Obyčejně jsou původní data a zálohovací archivy organizovány a cíleně nastaveny tak, aby bylo mazání osobních údajů jediné osoby, bez dopadu na zálohy ostatních aplikací a uživatelů, prakticky neproveditelné. Mazání údajů jediného uživatele může mít negativní následky pro bezpečnost údajů mnoha dalších uživatelů – a efektivně tak dokáže vynulovat jakékoli výhody, jež zálohování přinášelo.

 

Balancování mezi konkurujícími si povinnostmi

Jelikož je Acronis společností zaměřenou na ochranu dat, je povinována zachovávat zálohy i v případě příchozí žádosti o výmaz. Provozujeme celosvětovou síť datových center, ve kterých jsou ukládány zálohovací archivy našich partnerů a zákazníků. Acronis ale nevidí, jaké údaje, ani zdali jsou osobní či jiného charakteru, jsou v datových centrech ukládány.

I kdybychom předpokládali, že většina zálohovacích archivů obsahuje osobní údaje, které budou předmětem žádosti o výmaz, Acronis nemůže modifikaci zálohovacího archivu v mnoha případech dovolit kvůli smluvním či právním závazkům vůči našim klientům a partnerům. V některých případech jde o zachování inherentní funkce zálohování: umožnit obnovu ztracených nebo poškozených dat z přesné kopie, která byla pořízena ve specifický čas. V jiných případech musíme zálohovací archivy našich zákazníků a partnerů zachovávat, protože na ně spoléhají při dodržování vlastních regulatorních a právních závazků.

Například mohou na dokonale zachované zálohy spoléhat pro potřeby vyhovění žádostem o e-discovery v probíhajícím soudním řízení nebo pro dodržování daňových či průmyslových regulací ohledně uchovávání záznamů. V takových případech GDPR uznává, že osobní údaje nemohou být ze záloh odstraněny okamžitě po zpracování žádosti o výmaz, protože mají přednost jiné náležitosti.

 

Povinnosti po obnově

Mějte na paměti, že primární zodpovědnost za dodržování práva na výmaz nesou správci údajů. A jelikož může obnova produkčního systému vést ke znovuzavedení dříve odstraněných údajů, správce musí vyvinout další činnost a zajistit, aby byly dané údaje z produkčního systému po obnově znovu smazány.

Problematika dodržování uživatelova práva být zapomenut se v souvislosti se zálohovacími archivy dá shrnout do dvou otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

Acronis nabízí pár osvědčených postupů – a několik užitečných funkcí v našich produktech a službách na ochranu dat – které pomohou partnerům (včetně poskytovatelů spravovaných služeb nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti plnící roli správců osobních údajů občanů EU) s pokořením těchto neobyčejných výzev vyvstávajících z nutnosti dodržovat GDPR. Tato doporučení a technologie, jež nabízíme ku pomoci, rozebereme ve druhé části tohoto příspěvku.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

20.06.2024
Klíčovou schopností IT administrátorů jsou obecné dovednosti při řešení problémů  PRAHA, 20. června 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že v rámci jejího dotazování téměř polovina jejích pr ...
12.06.2024
Acronis XDR přináší kompletní, nativně integrovaný a vysoce efektivní nástroj kybernetické bezpečnosti ušitý na míru MSP poskytovatelům PRAHA, 12. června 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představuje Acronis XDR, nejn ...
10.06.2024
ZEBRA dále rozšiřuje produktové portfolio, když letos přidala do své distribuce dvě nové značky Praha, 10. června 2024 – Společnost ZEBRA SYSTEMS, distributor s přidanou hodnotou (VAD) v segmentu kybernetické ochrany, ocenila na svém každoročním setk ...
30.05.2024
České firmy nicméně nemají vypracovaný detailní plán pro reakci na kybernetické incidenty PRAHA, 30. května 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představil výsledky dotazování mezi svými českými a slovenskými IT partnery ...
28.05.2024
IT pracovníci čelí stále většímu rozptylování vedoucí k chybám a potenciálním finančním ztrátám  PRAHA, 28. května 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že komplikovanější IT infrastruktura a slož ...
27.05.2024
Multi-tenantní řešení podporuje nasazení cloudu v SMB segmentu díky rozšířeným možnostem efektivnější správy Windows 365. PRAHA, 22. května 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, představuje produkt N- ...
16.05.2024
Podle GFI Software má technické zabezpečení přístupu smysl hlavně v kombinaci s anti-phishingovými nástroji a školením uživatelů o metodách sociálního inženýrství PRAHA, 16. května 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podni ...
13.05.2024
S nejnovější funkčností Acronis mohou MSP partneři odlišit své služby nabídkou bezkonkurenční kontinuity provozu svých klientů s minimálními investicemi do zdrojů PRAHA, 13. května 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, o ...
24.04.2024
Komponenta CoPilot bude brzy dostupná v řešeních MailEssentials, Kerio Control, ClearView a LanGuard PRAHA, 24. dubna 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, ohlásila integraci CoPilot, komponenty postavené ...
22.04.2024
Nové řešení od N-able dává všem MSP do rukou špičkový nástroj pro zabezpečení zákaznických IT infrastruktur   PRAHA, 22. dubna 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, představuje produkt N-able Managed ...