Zálohování a „právo být zapomenut“ podle GDPR: Doporučení

(Část druhá ze dvou)

Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) oficiálně vstoupí v platnost 25. května 2018 a je nasnadě ptát se na otázky ohledně práva být zapomenut a dopadu na osobní údaje uložené v zálohovacích archivech. Tyto otázky jsme prozkoumávali v první části příspěvku a teď si povíme, jak s nimi naložit.

Došli jsme k závěru, že lze problematiku dodržování práva subjektu být zapomenut v zálohovacích archivech shrnout do dvou nejdůležitějších otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

 

Osvědčené postupy zacházení s osobními údaji

Acronis má několik osvědčených postupů a produktových funkcí navržených ku pomoci partnerům (včetně MSP nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti sloužící coby správci osobních údajů obyvatel EU) s dodržováním svých nových povinností:

  • • Kde je to možné, správci by měli organizovat zálohy tak, aby pro každý subjekt údajů a jeho osobní údaje existoval samostatný zálohovací archiv.
    • – Jedná se o ideální řešení, protože umožňuje granulární mazání osobních údajů, aniž by byly ovlivněny záznamy ostatních osob.
    • – Naneštěstí je tento přístup pro většinu podniků jen stěží implementovatelným – osobní údaje subjektů jsou totiž často rozptýleny přes několikero aplikací, lokací, úložných zařízení a záloh.
  • • Zálohovací archivy by měly být zabezpečeny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
  • • Když osoba požádá o vymazání jejích osobních údajů, správce by měl být plně transparentní a otevřený o dalším postupu ohledně záloh:
    • – Primární instance jejích údajů v produkčních systémech budou smazány se vší pohotovostí.
    • – Její osobní údaje mohou zůstat v zálohovacích archivech o něco déle – buď protože je nemožné individuální osobní údaje v rámci archivu izolovat nebo protože má správce povinnost údaje déle uchovat kvůli smluvním, právním nebo jiným regulatorním závazkům.
    • – Osoba by měla být ujištěna, že její osobní údaje nebudou obnoveny zpět do produkčních systémů (vyjma některých vzácných případů typu potřeby obnovy po přírodní katastrofě nebo po vážném bezpečnostním narušení – v těchto případech správce podnikne nutné kroky k tomu, aby neporušil původní žádost a znovu tak vymaže údaje z primární instance.
    • – Zálohovací archivy obsahující osobní údaje budou chráněny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
    • – Na místě jsou retenční pravidla, nastavená tak, aby byly osobní údaje v archivech uchovány jen po nezbytně nutnou dobu a poté budou automaticky smazány.
    • – Záznamy o všech žádostech subjektů údajů ohledně jejich osobních údajů budou zachovány, stejně jako auditní protokoly se záznamy o všech aktivitách se zálohovacími archivy obsahujícími osobní údaje. To znamená, že si uživatelé mohou být jisti, že jsou jejich osobní údaje zálohovány v souladu s GDPR zásadami security-by-design-and-by-default a o minimalizaci údajů, a že jejich práva, včetně práva být zapomenut, budou dodržena.

 

Jak dodržuje právo být zapomenut Acronis, když je v roli správce osobních údajů

Acronis bude dodržovat práva všech subjektů údajů ohledně jejich osobních údajů, včetně práva být zapomenut, když už údaje nebudou nadále zapotřebí pro jejich původní účely nebo když uživatel stáhne svůj souhlas se zpracováním. Když je Acronis požádán zákazníkem o výmaz, smažeme jeho osobní údaje (např. jméno, příjmení, poštovní adresy, telefonní čísla) z našich produkčních systémů do 30 dnů, pokud neexistuje právní základ pro jejich další zpracovávání.

Z našich záložních kopií daných osobních údajů v archivech budou údaje smazány, jakmile to bude prakticky proveditelné, do míry, jakou nám dovolují naše další závazky o retenci údajů (např. chránit další údaje uložené ve stejných zálohovacích archivech nebo jiné regulatorní a legální povinnosti). Jakmile budou tyto povinnosti naplněny, permanentně dané údaje smažeme, jak nejrychleji to půjde.

Acronis si rovněž uchová auditní protokoly dokumentující historii všech operací se zákazníkovými osobními údaji po nutnou dobu danou právními povinnostmi. Určité položky, které uživatel může považovat za své osobní údaje, např. příspěvky do komunitních diskuzních fór nebo recenze, mohou být zachovány v souladu s podmínkami poskytované služby, s nimiž daný uživatel souhlasil v momentě, kdy je zveřejňoval. Acronis se bude vždy snažit vyčerpat všechny dostupné prostředky k udržení osobních údajů v bezpečí, nepřístupné pro neautorizované osoby.

 

Závěr

Ať už jste správce, zpracovatel, nebo jste podle GDPR obojím, naplňování práva subjektů údajů být zapomenut je docela přímočaré: pokud se vyskytují v produkčních systémech, musíte je rychle smazat. Kopie stejných údajů uložené v zálohovacích archivech ale mohou být trochu složitějším problémem: rovněž je musíte smazat, co nejrychleji to jde, můžete mít ale zároveň (jiné) povinnosti, uchovat je déle.

Nejjistějším způsobem, jak se vyhnout potencionálnímu porušení dodržování nařízení a souvisejícím tučným pokutám, je dodržovat ty stejné obecné zásady GDPR pro zálohy, jako pro osobní údaje v produkčních systémech:

  • • Podnikněte rozumné kroky k udržení zálohovacích archivů v bezpečí před neoprávněnými zvědavci,
  • • Neuchovávejte archivy déle, než je opravdu nezbytně nutné,
  • • Protokolujte a dokumentujte své zásady, procedury a faktické operace se zálohovacími archivy, abyste mohli vždy prokázat, že jste při dodržování práv subjektů údajů ohledně jejich osobních údajů uložených v zálohách jednali se vší počestností.

Jednejte s uživateli otevřeně a vysvětlujte, proč můžou být jejich osobní údaje zachovány déle, jak je budete udržovat v bezpečí, dokud nebudou smazány a kdy k tomu eventuálně dojde.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.

Štítky:
post

Mohlo by vás dále zajímat

20.06.2024
Klíčovou schopností IT administrátorů jsou obecné dovednosti při řešení problémů  PRAHA, 20. června 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, uvedla, že v rámci jejího dotazování téměř polovina jejích pr ...
12.06.2024
Acronis XDR přináší kompletní, nativně integrovaný a vysoce efektivní nástroj kybernetické bezpečnosti ušitý na míru MSP poskytovatelům PRAHA, 12. června 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představuje Acronis XDR, nejn ...
10.06.2024
ZEBRA dále rozšiřuje produktové portfolio, když letos přidala do své distribuce dvě nové značky Praha, 10. června 2024 – Společnost ZEBRA SYSTEMS, distributor s přidanou hodnotou (VAD) v segmentu kybernetické ochrany, ocenila na svém každoročním setk ...
30.05.2024
České firmy nicméně nemají vypracovaný detailní plán pro reakci na kybernetické incidenty PRAHA, 30. května 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, představil výsledky dotazování mezi svými českými a slovenskými IT partnery ...
28.05.2024
IT pracovníci čelí stále většímu rozptylování vedoucí k chybám a potenciálním finančním ztrátám  PRAHA, 28. května 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, uvedla, že komplikovanější IT infrastruktura a slož ...
27.05.2024
Multi-tenantní řešení podporuje nasazení cloudu v SMB segmentu díky rozšířeným možnostem efektivnější správy Windows 365. PRAHA, 22. května 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, představuje produkt N- ...
16.05.2024
Podle GFI Software má technické zabezpečení přístupu smysl hlavně v kombinaci s anti-phishingovými nástroji a školením uživatelů o metodách sociálního inženýrství PRAHA, 16. května 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podni ...
13.05.2024
S nejnovější funkčností Acronis mohou MSP partneři odlišit své služby nabídkou bezkonkurenční kontinuity provozu svých klientů s minimálními investicemi do zdrojů PRAHA, 13. května 2024 – Acronis, globální lídr na trhu řešení kybernetické ochrany, o ...
24.04.2024
Komponenta CoPilot bude brzy dostupná v řešeních MailEssentials, Kerio Control, ClearView a LanGuard PRAHA, 24. dubna 2024 – Společnost GFI Software, dodavatel řešení bezpečnosti v podnikových sítích, ohlásila integraci CoPilot, komponenty postavené ...
22.04.2024
Nové řešení od N-able dává všem MSP do rukou špičkový nástroj pro zabezpečení zákaznických IT infrastruktur   PRAHA, 22. dubna 2024 – Společnost ZEBRA SYSTEMS, distributor řešení N-able na českém a slovenském trhu, představuje produkt N-able Managed ...