Zálohování a „právo být zapomenut“ podle GDPR: Doporučení

(Část druhá ze dvou)

Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) oficiálně vstoupí v platnost 25. května 2018 a je nasnadě ptát se na otázky ohledně práva být zapomenut a dopadu na osobní údaje uložené v zálohovacích archivech. Tyto otázky jsme prozkoumávali v první části příspěvku a teď si povíme, jak s nimi naložit.

Došli jsme k závěru, že lze problematiku dodržování práva subjektu být zapomenut v zálohovacích archivech shrnout do dvou nejdůležitějších otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

 

Osvědčené postupy zacházení s osobními údaji

Acronis má několik osvědčených postupů a produktových funkcí navržených ku pomoci partnerům (včetně MSP nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti sloužící coby správci osobních údajů obyvatel EU) s dodržováním svých nových povinností:

  • • Kde je to možné, správci by měli organizovat zálohy tak, aby pro každý subjekt údajů a jeho osobní údaje existoval samostatný zálohovací archiv.
    • – Jedná se o ideální řešení, protože umožňuje granulární mazání osobních údajů, aniž by byly ovlivněny záznamy ostatních osob.
    • – Naneštěstí je tento přístup pro většinu podniků jen stěží implementovatelným – osobní údaje subjektů jsou totiž často rozptýleny přes několikero aplikací, lokací, úložných zařízení a záloh.
  • • Zálohovací archivy by měly být zabezpečeny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
  • • Když osoba požádá o vymazání jejích osobních údajů, správce by měl být plně transparentní a otevřený o dalším postupu ohledně záloh:
    • – Primární instance jejích údajů v produkčních systémech budou smazány se vší pohotovostí.
    • – Její osobní údaje mohou zůstat v zálohovacích archivech o něco déle – buď protože je nemožné individuální osobní údaje v rámci archivu izolovat nebo protože má správce povinnost údaje déle uchovat kvůli smluvním, právním nebo jiným regulatorním závazkům.
    • – Osoba by měla být ujištěna, že její osobní údaje nebudou obnoveny zpět do produkčních systémů (vyjma některých vzácných případů typu potřeby obnovy po přírodní katastrofě nebo po vážném bezpečnostním narušení – v těchto případech správce podnikne nutné kroky k tomu, aby neporušil původní žádost a znovu tak vymaže údaje z primární instance.
    • – Zálohovací archivy obsahující osobní údaje budou chráněny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
    • – Na místě jsou retenční pravidla, nastavená tak, aby byly osobní údaje v archivech uchovány jen po nezbytně nutnou dobu a poté budou automaticky smazány.
    • – Záznamy o všech žádostech subjektů údajů ohledně jejich osobních údajů budou zachovány, stejně jako auditní protokoly se záznamy o všech aktivitách se zálohovacími archivy obsahujícími osobní údaje. To znamená, že si uživatelé mohou být jisti, že jsou jejich osobní údaje zálohovány v souladu s GDPR zásadami security-by-design-and-by-default a o minimalizaci údajů, a že jejich práva, včetně práva být zapomenut, budou dodržena.

 

Jak dodržuje právo být zapomenut Acronis, když je v roli správce osobních údajů

Acronis bude dodržovat práva všech subjektů údajů ohledně jejich osobních údajů, včetně práva být zapomenut, když už údaje nebudou nadále zapotřebí pro jejich původní účely nebo když uživatel stáhne svůj souhlas se zpracováním. Když je Acronis požádán zákazníkem o výmaz, smažeme jeho osobní údaje (např. jméno, příjmení, poštovní adresy, telefonní čísla) z našich produkčních systémů do 30 dnů, pokud neexistuje právní základ pro jejich další zpracovávání.

Z našich záložních kopií daných osobních údajů v archivech budou údaje smazány, jakmile to bude prakticky proveditelné, do míry, jakou nám dovolují naše další závazky o retenci údajů (např. chránit další údaje uložené ve stejných zálohovacích archivech nebo jiné regulatorní a legální povinnosti). Jakmile budou tyto povinnosti naplněny, permanentně dané údaje smažeme, jak nejrychleji to půjde.

Acronis si rovněž uchová auditní protokoly dokumentující historii všech operací se zákazníkovými osobními údaji po nutnou dobu danou právními povinnostmi. Určité položky, které uživatel může považovat za své osobní údaje, např. příspěvky do komunitních diskuzních fór nebo recenze, mohou být zachovány v souladu s podmínkami poskytované služby, s nimiž daný uživatel souhlasil v momentě, kdy je zveřejňoval. Acronis se bude vždy snažit vyčerpat všechny dostupné prostředky k udržení osobních údajů v bezpečí, nepřístupné pro neautorizované osoby.

 

Závěr

Ať už jste správce, zpracovatel, nebo jste podle GDPR obojím, naplňování práva subjektů údajů být zapomenut je docela přímočaré: pokud se vyskytují v produkčních systémech, musíte je rychle smazat. Kopie stejných údajů uložené v zálohovacích archivech ale mohou být trochu složitějším problémem: rovněž je musíte smazat, co nejrychleji to jde, můžete mít ale zároveň (jiné) povinnosti, uchovat je déle.

Nejjistějším způsobem, jak se vyhnout potencionálnímu porušení dodržování nařízení a souvisejícím tučným pokutám, je dodržovat ty stejné obecné zásady GDPR pro zálohy, jako pro osobní údaje v produkčních systémech:

  • • Podnikněte rozumné kroky k udržení zálohovacích archivů v bezpečí před neoprávněnými zvědavci,
  • • Neuchovávejte archivy déle, než je opravdu nezbytně nutné,
  • • Protokolujte a dokumentujte své zásady, procedury a faktické operace se zálohovacími archivy, abyste mohli vždy prokázat, že jste při dodržování práv subjektů údajů ohledně jejich osobních údajů uložených v zálohách jednali se vší počestností.

Jednejte s uživateli otevřeně a vysvětlujte, proč můžou být jejich osobní údaje zachovány déle, jak je budete udržovat v bezpečí, dokud nebudou smazány a kdy k tomu eventuálně dojde.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

10.10.2024
Jako klíčové nástroje pro splnění evropské směrnice jsou považovány zálohování/obnova a ochrana koncových bodů PRAHA, 9. října 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představil výsledky dotazování mezi svými českými a slov ...
27.09.2024
Phisihing s využitím AI, sofistikované ransomwarové útoky, ale také požadavky směrnice NIS 2 zvyšují nároky na úroveň kybernetického zabezpečení PRAHA, 26. září 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, ...
24.09.2024
AI komponenta v řešení Kerio Connect a GFI MailEssentails přinese revoluční možnosti  ve využívání podnikových e-mailů PRAHA, 24. září 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, představila budoucnost svých pro ...
17.09.2024
V ČR a na Slovensku oceňovaný MSP software nabízí další služby důležité pro ochranu zákazníků PRAHA, 17. září 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, přidal do své MSP platformy Acronis Cyber Protect Cloud řadu dalších nový ...
27.08.2024
SMB organizace se snaží mezery v bezpečnosti řešit manuálně a s pomocí neúplných nástrojů, což značně zatěžuje firemní zdroje     PRAHA, 27. srpna 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, představila 5 nejčas ...
23.08.2024
Nová verze oceňovaného nástroje kybernetické bezpečnosti a ochrany dat nabízí široké možnosti pořízení včetně předplatného či trvalé licence PRAHA, 23. srpna 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představuje na českém a s ...
19.08.2024
Počet volných IT pozic dále roste, neobsazené zůstávají v průměru téměř 8 měsíců PRAHA, 19. srpna 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že roste počet neobsazených pozic v oblasti IT správy k ...
12.08.2024
Partnerství mezi Acronis a EQT, globální investiční organizací, vychází ze společné vize růstu, rychlejšího rozšiřování platformy kybernetické ochrany a zaměření se na služby zákazníkům PRAHA, 12. srpna 2024 – Společnost Acronis, globální lídr v obla ...
08.08.2024
Kombinace obou řešení nabízí společnou platformu pro řízení hrozeb a monitoring sítí PRAHA, 8. srpna 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvádí komplexní nabídku pro správu a bezpečnost provozu firemních ...
30.07.2024
Pravidelný Acronis Cyberthreats Report zveřejnil data získaná za první polovinu roku 2024   PRAHA, 30. července 2024 - Společnost Acronis, globální lídr v oblasti kybernetické bezpečnosti a ochrany dat, dnes zveřejnila nové výsledky výzkumu z první p ...