Zpět
Doba čtení:

Zálohování a „právo být zapomenut“ podle GDPR: Doporučení

(Část druhá ze dvou)

Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) oficiálně vstoupí v platnost 25. května 2018 a je nasnadě ptát se na otázky ohledně práva být zapomenut a dopadu na osobní údaje uložené v zálohovacích archivech. Tyto otázky jsme prozkoumávali v první části příspěvku a teď si povíme, jak s nimi naložit.

Došli jsme k závěru, že lze problematiku dodržování práva subjektu být zapomenut v zálohovacích archivech shrnout do dvou nejdůležitějších otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

 

Osvědčené postupy zacházení s osobními údaji

Acronis má několik osvědčených postupů a produktových funkcí navržených ku pomoci partnerům (včetně MSP nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti sloužící coby správci osobních údajů obyvatel EU) s dodržováním svých nových povinností:

  • • Kde je to možné, správci by měli organizovat zálohy tak, aby pro každý subjekt údajů a jeho osobní údaje existoval samostatný zálohovací archiv.
    • – Jedná se o ideální řešení, protože umožňuje granulární mazání osobních údajů, aniž by byly ovlivněny záznamy ostatních osob.
    • – Naneštěstí je tento přístup pro většinu podniků jen stěží implementovatelným – osobní údaje subjektů jsou totiž často rozptýleny přes několikero aplikací, lokací, úložných zařízení a záloh.
  • • Zálohovací archivy by měly být zabezpečeny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
  • • Když osoba požádá o vymazání jejích osobních údajů, správce by měl být plně transparentní a otevřený o dalším postupu ohledně záloh:
    • – Primární instance jejích údajů v produkčních systémech budou smazány se vší pohotovostí.
    • – Její osobní údaje mohou zůstat v zálohovacích archivech o něco déle – buď protože je nemožné individuální osobní údaje v rámci archivu izolovat nebo protože má správce povinnost údaje déle uchovat kvůli smluvním, právním nebo jiným regulatorním závazkům.
    • – Osoba by měla být ujištěna, že její osobní údaje nebudou obnoveny zpět do produkčních systémů (vyjma některých vzácných případů typu potřeby obnovy po přírodní katastrofě nebo po vážném bezpečnostním narušení – v těchto případech správce podnikne nutné kroky k tomu, aby neporušil původní žádost a znovu tak vymaže údaje z primární instance.
    • – Zálohovací archivy obsahující osobní údaje budou chráněny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
    • – Na místě jsou retenční pravidla, nastavená tak, aby byly osobní údaje v archivech uchovány jen po nezbytně nutnou dobu a poté budou automaticky smazány.
    • – Záznamy o všech žádostech subjektů údajů ohledně jejich osobních údajů budou zachovány, stejně jako auditní protokoly se záznamy o všech aktivitách se zálohovacími archivy obsahujícími osobní údaje. To znamená, že si uživatelé mohou být jisti, že jsou jejich osobní údaje zálohovány v souladu s GDPR zásadami security-by-design-and-by-default a o minimalizaci údajů, a že jejich práva, včetně práva být zapomenut, budou dodržena.

 

Jak dodržuje právo být zapomenut Acronis, když je v roli správce osobních údajů

Acronis bude dodržovat práva všech subjektů údajů ohledně jejich osobních údajů, včetně práva být zapomenut, když už údaje nebudou nadále zapotřebí pro jejich původní účely nebo když uživatel stáhne svůj souhlas se zpracováním. Když je Acronis požádán zákazníkem o výmaz, smažeme jeho osobní údaje (např. jméno, příjmení, poštovní adresy, telefonní čísla) z našich produkčních systémů do 30 dnů, pokud neexistuje právní základ pro jejich další zpracovávání.

Z našich záložních kopií daných osobních údajů v archivech budou údaje smazány, jakmile to bude prakticky proveditelné, do míry, jakou nám dovolují naše další závazky o retenci údajů (např. chránit další údaje uložené ve stejných zálohovacích archivech nebo jiné regulatorní a legální povinnosti). Jakmile budou tyto povinnosti naplněny, permanentně dané údaje smažeme, jak nejrychleji to půjde.

Acronis si rovněž uchová auditní protokoly dokumentující historii všech operací se zákazníkovými osobními údaji po nutnou dobu danou právními povinnostmi. Určité položky, které uživatel může považovat za své osobní údaje, např. příspěvky do komunitních diskuzních fór nebo recenze, mohou být zachovány v souladu s podmínkami poskytované služby, s nimiž daný uživatel souhlasil v momentě, kdy je zveřejňoval. Acronis se bude vždy snažit vyčerpat všechny dostupné prostředky k udržení osobních údajů v bezpečí, nepřístupné pro neautorizované osoby.

 

Závěr

Ať už jste správce, zpracovatel, nebo jste podle GDPR obojím, naplňování práva subjektů údajů být zapomenut je docela přímočaré: pokud se vyskytují v produkčních systémech, musíte je rychle smazat. Kopie stejných údajů uložené v zálohovacích archivech ale mohou být trochu složitějším problémem: rovněž je musíte smazat, co nejrychleji to jde, můžete mít ale zároveň (jiné) povinnosti, uchovat je déle.

Nejjistějším způsobem, jak se vyhnout potencionálnímu porušení dodržování nařízení a souvisejícím tučným pokutám, je dodržovat ty stejné obecné zásady GDPR pro zálohy, jako pro osobní údaje v produkčních systémech:

  • • Podnikněte rozumné kroky k udržení zálohovacích archivů v bezpečí před neoprávněnými zvědavci,
  • • Neuchovávejte archivy déle, než je opravdu nezbytně nutné,
  • • Protokolujte a dokumentujte své zásady, procedury a faktické operace se zálohovacími archivy, abyste mohli vždy prokázat, že jste při dodržování práv subjektů údajů ohledně jejich osobních údajů uložených v zálohách jednali se vší počestností.

Jednejte s uživateli otevřeně a vysvětlujte, proč můžou být jejich osobní údaje zachovány déle, jak je budete udržovat v bezpečí, dokud nebudou smazány a kdy k tomu eventuálně dojde.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

image GFI Software: prudký nárůst objemu dat zvyšuje rizika deepfake útoků

GFI Software: prudký nárůst objemu dat zvyšuje rizika deepfake útoků

16.05.2025
Pouze 12 % společností se cítí plně chráněných proti sofistikovaným útokům na svá data PRAHA, 15. května 2025 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že současný nárůst objemu dat a počtu úložišť vede ke ...
IoT, narušení bezpečnosti, klíčová data, deepfake
image ZEBRA SYSTEMS rozšiřuje svou přítomnost do Severní Ameriky, jmenuje Paula Trefonase VP pro prodej řešení GFI v regionu

ZEBRA SYSTEMS rozšiřuje svou přítomnost do Severní Ameriky, jmenuje Paula Trefonase VP pro prodej řešení GFI v regionu

15.05.2025
PRAHA, 14. května 2025 – ZEBRA SYSTEM LLC, přední distributor cloudových služeb a služeb s přidanou hodnotou a sesterská firma společnosti ZEBRA SYSTEMS s.r.o., dnes oznámila rozšíření svého působení do Severní Ameriky a jmenování Paula Trefonase do ...
GFI Software, partnerský prodej, Severní Amerika
image Acronis integruje do své platformy řešení Fortinet 

Acronis integruje do své platformy řešení Fortinet 

13.05.2025
Díky spojení Acronis XDR s oceňovaným firewallem Fortinet mohou MSP poskytovatelé minimalizovat síťové hrozby a zabránit budoucím útokům PRAHA, 13. května 2025 – Společnost Acronis, globální lídr v oblasti kybernetické bezpečnosti a ochrany dat, uved ...
integrovaná ochrana, firewall, firemní síť, xdr
image GFI Software: AI zvyšuje produktivitu e-mailové komunikace

GFI Software: AI zvyšuje produktivitu e-mailové komunikace

29.04.2025
S časově náročnou tvorbou smysluplných odpovědí se při využívání elektronické pošty potýká 68 % podnikových uživatelů PRAHA, 29. dubna 2025 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že v rámci dotazování m ...
elektronická pošta, e-maily, AI, umělá inteligence
image Acronis a ZEBRA SYSTEMS rozšiřují partnerství ve střední a východní Evropě 

Acronis a ZEBRA SYSTEMS rozšiřují partnerství ve střední a východní Evropě 

25.04.2025
Spolupráce posiluje zaměření na potřeby lokálních MSP v oblasti EDR/XDR a ochrany M365 PRAHA, 24. dubna 2025 – Acronis, globální lídr v oblasti kybernetické bezpečnosti a ochrany dat, a ZEBRA SYSTEMS, přední distributor VAD v oblasti ochrany dat, k ...
Acronis, msp, Microsoft 365, edr
image N-able zlepšuje IT a bezpečnostní operace díky integrované správě zranitelností

N-able zlepšuje IT a bezpečnostní operace díky integrované správě zranitelností

16.04.2025
UEM řešení N-able nyní poskytují jednotný pohled na identifikaci, prioritizaci a reportování zranitelností v rámci všech hlavních operačních systémů   PRAHA, 16. dubna 2025 – ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedl ...
patch management, zranitelnost, rmm, záplatování
image N-able představuje Adlumin Breach Prevention for Microsoft 365

N-able představuje Adlumin Breach Prevention for Microsoft 365

09.04.2025
Nový nástroj na ochranu identity detekuje a zastavuje útoky zaměřené na infiltraci organizací PRAHA, 9. dubna 2025 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že společnost N-able představila Breach Pre ...
Cloud, přístup, identita, Microsoft 365
image Průzkum Acronis: 64 % domácích uživatelů uvádí jako hlavní problém narušení ochrany osobních údajů

Průzkum Acronis: 64 % domácích uživatelů uvádí jako hlavní problém narušení ochrany osobních údajů

08.04.2025
Většina domácích uživatelů přesto považuje za nejdůležitější osobní fotky a videa,  dokumenty a kontakty, které mohou obsahovat citlivé informace, jsou až na druhém místě PRAHA, 8. dubna 2025 – Společnost Acronis, globální lídr v oblasti kybernetické ...
backup, mobilní zařízení, kyberbezpečnost, 2FA
image Acronis posiluje vedoucí postavení v oblasti kybernetické odolnosti provozních technologií (OT) 

Acronis posiluje vedoucí postavení v oblasti kybernetické odolnosti provozních technologií (OT) 

19.03.2025
Jedinečné schopnosti v oblasti zabezpečení provozních technologií potvrzují rostoucí přijetí ze strany OEM výrobců. PRAHA, 19. března 2025 – Společnost Acronis, globální lídr v oblasti kybernetické bezpečnosti a ochrany dat, si nadále upevňuje svou p ...
backup, disaster recovery, obnova dat, oem
image GFI Software: skokový nárůst počtu zranitelností v roce 2024

GFI Software: skokový nárůst počtu zranitelností v roce 2024

14.03.2025
Mezi výrobci s nejvíce zranitelnostmi se vloni zařadili Linux, Microsoft a Google PRAHA, 13. března 2025 – Společnost GFI Software, dodavatel řešení pro bezpečnost a správu v podnikových sítích, uvedla, že podle aktuálních údajů z katalogu zjištěných ...
patch management, zranitelnost, skenování zranitelnosti, záplatování

Centrála Ostrava

Opavská 6230/29a,708 00 Ostrava-Poruba

Česká republika, +420 596 912 961, [email protected]

Pobočka Hradec Králové

Třída SNP 402/48, 500 03 Hradec Králové

Česká republika, +420 491 615 380, [email protected]

Pobočka Slovensko

+421 917 554 499

[email protected]

Pobočka Adriatic

+385 99 3241 770 (HR) +381 61 6231 777 (SRB)

[email protected]

Společnost ZEBRA SYSTEMS, s.r.o. je předním distributorem s přidanou hodnotou (VAD) v segmentu IT bezpečnosti, ochrany dat a business continuity v České republice, na Slovensku a v jihovýchodní Evropě. Jedná se o rodinnou firmu s třicetiletou historií na trhu. Vedle prodeje produktů poskytuje svým zákazníkům špičkové služby podpory a školení. ZEBRA SYSTEMS je distributorem značek Acronis, AST, Cloudflare, GFI Software, N-able a Company (Un)Hacked. Společnost opakovaně získala ocenění ChannelWorld Awards pro nejlepší VAD distributory.


Rodinný podnik
Certifikát Stabilní firma

Navigace

Důležité odkazy