Zálohování a „právo být zapomenut“ podle GDPR: Doporučení

1.3.2018

(Část druhá ze dvou)

Obecné nařízení Evropské unie o ochraně osobních údajů (GDPR) oficiálně vstoupí v platnost 25. května 2018 a je nasnadě ptát se na otázky ohledně práva být zapomenut a dopadu na osobní údaje uložené v zálohovacích archivech. Tyto otázky jsme prozkoumávali v první části příspěvku a teď si povíme, jak s nimi naložit.

Došli jsme k závěru, že lze problematiku dodržování práva subjektu být zapomenut v zálohovacích archivech shrnout do dvou nejdůležitějších otázek:

  • • Jak údaje chránit, jestliže jejich kopie přetrvává v zálohovacím archivu?
  • • Jak dodržovat principy minimalizace údajů, které GDPR představuje, tedy držet jen nezbytné minimum údajů po dobu, po kterou je nezbytně potřebujeme?

 

Osvědčené postupy zacházení s osobními údaji

Acronis má několik osvědčených postupů a produktových funkcí navržených ku pomoci partnerům (včetně MSP nabízejících zálohování jako službu na platformě Acronis Data Cloud) a jejich zákazníkům (společnosti sloužící coby správci osobních údajů obyvatel EU) s dodržováním svých nových povinností:

  • • Kde je to možné, správci by měli organizovat zálohy tak, aby pro každý subjekt údajů a jeho osobní údaje existoval samostatný zálohovací archiv.
    • – Jedná se o ideální řešení, protože umožňuje granulární mazání osobních údajů, aniž by byly ovlivněny záznamy ostatních osob.
    • – Naneštěstí je tento přístup pro většinu podniků jen stěží implementovatelným – osobní údaje subjektů jsou totiž často rozptýleny přes několikero aplikací, lokací, úložných zařízení a záloh.
  • • Zálohovací archivy by měly být zabezpečeny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
  • • Když osoba požádá o vymazání jejích osobních údajů, správce by měl být plně transparentní a otevřený o dalším postupu ohledně záloh:
    • – Primární instance jejích údajů v produkčních systémech budou smazány se vší pohotovostí.
    • – Její osobní údaje mohou zůstat v zálohovacích archivech o něco déle – buď protože je nemožné individuální osobní údaje v rámci archivu izolovat nebo protože má správce povinnost údaje déle uchovat kvůli smluvním, právním nebo jiným regulatorním závazkům.
    • – Osoba by měla být ujištěna, že její osobní údaje nebudou obnoveny zpět do produkčních systémů (vyjma některých vzácných případů typu potřeby obnovy po přírodní katastrofě nebo po vážném bezpečnostním narušení – v těchto případech správce podnikne nutné kroky k tomu, aby neporušil původní žádost a znovu tak vymaže údaje z primární instance.
    • – Zálohovací archivy obsahující osobní údaje budou chráněny silným šifrováním, aby nemohly být zneužity ani v případě, že se k nim dostanou zločinci.
    • – Na místě jsou retenční pravidla, nastavená tak, aby byly osobní údaje v archivech uchovány jen po nezbytně nutnou dobu a poté budou automaticky smazány.
    • – Záznamy o všech žádostech subjektů údajů ohledně jejich osobních údajů budou zachovány, stejně jako auditní protokoly se záznamy o všech aktivitách se zálohovacími archivy obsahujícími osobní údaje. To znamená, že si uživatelé mohou být jisti, že jsou jejich osobní údaje zálohovány v souladu s GDPR zásadami security-by-design-and-by-default a o minimalizaci údajů, a že jejich práva, včetně práva být zapomenut, budou dodržena.

 

Jak dodržuje právo být zapomenut Acronis, když je v roli správce osobních údajů

Acronis bude dodržovat práva všech subjektů údajů ohledně jejich osobních údajů, včetně práva být zapomenut, když už údaje nebudou nadále zapotřebí pro jejich původní účely nebo když uživatel stáhne svůj souhlas se zpracováním. Když je Acronis požádán zákazníkem o výmaz, smažeme jeho osobní údaje (např. jméno, příjmení, poštovní adresy, telefonní čísla) z našich produkčních systémů do 30 dnů, pokud neexistuje právní základ pro jejich další zpracovávání.

Z našich záložních kopií daných osobních údajů v archivech budou údaje smazány, jakmile to bude prakticky proveditelné, do míry, jakou nám dovolují naše další závazky o retenci údajů (např. chránit další údaje uložené ve stejných zálohovacích archivech nebo jiné regulatorní a legální povinnosti). Jakmile budou tyto povinnosti naplněny, permanentně dané údaje smažeme, jak nejrychleji to půjde.

Acronis si rovněž uchová auditní protokoly dokumentující historii všech operací se zákazníkovými osobními údaji po nutnou dobu danou právními povinnostmi. Určité položky, které uživatel může považovat za své osobní údaje, např. příspěvky do komunitních diskuzních fór nebo recenze, mohou být zachovány v souladu s podmínkami poskytované služby, s nimiž daný uživatel souhlasil v momentě, kdy je zveřejňoval. Acronis se bude vždy snažit vyčerpat všechny dostupné prostředky k udržení osobních údajů v bezpečí, nepřístupné pro neautorizované osoby.

 

Závěr

Ať už jste správce, zpracovatel, nebo jste podle GDPR obojím, naplňování práva subjektů údajů být zapomenut je docela přímočaré: pokud se vyskytují v produkčních systémech, musíte je rychle smazat. Kopie stejných údajů uložené v zálohovacích archivech ale mohou být trochu složitějším problémem: rovněž je musíte smazat, co nejrychleji to jde, můžete mít ale zároveň (jiné) povinnosti, uchovat je déle.

Nejjistějším způsobem, jak se vyhnout potencionálnímu porušení dodržování nařízení a souvisejícím tučným pokutám, je dodržovat ty stejné obecné zásady GDPR pro zálohy, jako pro osobní údaje v produkčních systémech:

  • • Podnikněte rozumné kroky k udržení zálohovacích archivů v bezpečí před neoprávněnými zvědavci,
  • • Neuchovávejte archivy déle, než je opravdu nezbytně nutné,
  • • Protokolujte a dokumentujte své zásady, procedury a faktické operace se zálohovacími archivy, abyste mohli vždy prokázat, že jste při dodržování práv subjektů údajů ohledně jejich osobních údajů uložených v zálohách jednali se vší počestností.

Jednejte s uživateli otevřeně a vysvětlujte, proč můžou být jejich osobní údaje zachovány déle, jak je budete udržovat v bezpečí, dokud nebudou smazány a kdy k tomu eventuálně dojde.

 

Autor: James Slaby

 

Upozorňujeme, že příspěvek je pouze informačního charakteru. Není míněn a neměl by být chápán jako právní poradenství. Na základě tohoto příspěvku, bez další právní či jiné profesionální rady, byste neměli postupovat.