it-swarm.com.de

Backups löschen - Aufforderung zum Löschen von Kundendaten - Data Protection Act 1998

Es wurde heute über das Recht der Kunden, ihre Daten löschen zu lassen, gesprochen und es wurde ein interessantes Gespräch über gesicherte Daten geführt (wir haben ein rollierendes 93-Tage-Fenster für Backups auf AWS s3).

Ich habe mich gefragt, ob und wie jemand Kundendaten in Backups löscht. Es scheint, dass dieses Datenschutzgesetz auch gesicherte Daten abdeckt?

Wie gehen Sie in Situationen wie meiner vor, in denen wir jeden Tag eine 73-GB-Sicherungsdatei (Erweiterung auf 589-GB-Daten und 117-GB-Protokolldateien) erstellen. Wenn dies also vollständig durchsetzbar ist und Aktualisierungen enthält, müssen wir 93 wiederherstellen Backups, die nötig wären:

Backup wiederherstellen - 3 Stunden
Kundendaten löschen - 1 Minute - 2 Stunden (abhängig von der Nutzung)
Backup 50 Minuten

(Ich weiß es zu schätzen, dass diese Datenbank, obwohl sie für mich eine große Datenbank ist und in einem kleinen Unternehmen arbeitet, im Vergleich zu Unternehmen immer noch klein ist!)

Wenn eine Anwendung dies automatisch ausführen würde, würde dies mindestens [4 Stunden pro Backup] * 93 = 372 Stunden (15,5 Tage!) Verarbeitungszeit (auf einem separaten Server) in Anspruch nehmen, wir haben also keine Auswirkungen darauf unser Live-System)

Glücklicherweise hatten wir noch keine solche Anfrage, aber meine andere Sorge ist, dass wir jetzt kein Backup haben, auf das wir zurückgreifen können, wenn die Person, die das Skript zum Löschen der versehentlich gelöschten Teile anderer Daten schreibt! Dies würde sicherlich gegen Ihre SLA Backups verstoßen?

Ich freue mich darauf, die Ansichten der Menschen und Beweise für ein Gesetz dazu zu hören.

7
Liam Wheldon

Morgan Lewis ist eine Anwaltskanzlei mit Büros in Großbritannien. Sie hat Informationen (Stand 2012, die neueste maßgebliche Veröffentlichung, die ich zu diesem Thema finden kann) zu den Leitlinien des ICO zum Löschen personenbezogener Daten im Rahmen des DPA 1998 veröffentlicht.

Nach ihrer rechtlichen Beurteilung der Leitlinien erkannte das ICO die Schwierigkeit, elektronische Daten im Rahmen des Gesetzes zu löschen, da diese in der einen oder anderen Form noch in den Organisationssystemen vorhanden sein können (hier scheinen Sicherungsdatensätze zu gelten), und als solche haben sie was übernommen sie bezeichnen einen "realistischen Ansatz" für das Löschen elektronischer Daten, da es möglich ist, die Daten "unbrauchbar" zu machen, ohne tatsächlich jede letzte Spur der Daten zu löschen. Der Artikel besagt, dass die wichtigsten Ergebnisse des ICO sind ...

  • Wenn Informationen gelöscht wurden, diese jedoch im "elektronischen Ether" noch vorhanden sind, handelt es sich nicht um "Live-Daten". Daher gelten Datenschutzbestimmungen nicht für die Daten, solange der für die Datenverarbeitung Verantwortliche dies nicht beabsichtigt um die Daten erneut zu verwenden oder darauf zuzugreifen. Das ICO zieht eine Analogie zu einer Tüte Akten mit Papierschnitzeln - es wäre möglich, die Informationen aus dem Papierschnitzel wiederherzustellen, aber es wäre äußerst schwierig, und es ist unwahrscheinlich, dass die Organisation die Absicht hätte, dies zu tun.

  • Es ist für einen für die Datenverarbeitung Verantwortlichen möglich, nicht gelöschte Daten "unbenutzbar" zu machen, wenn der für die Datenverarbeitung Verantwortliche nicht in der Lage oder nicht in der Lage ist, die personenbezogenen Daten zu verwenden, um Entscheidungen in Bezug auf eine Person oder in einer Weise, die die Person betrifft, mitzuteilen gewährt in keiner Weise einer anderen Organisation Zugriff auf die personenbezogenen Daten, ergreift geeignete Sicherheitsmaßnahmen in Bezug auf die Daten und verpflichtet sich zur dauerhaften Löschung der Informationen, wenn und wann dies möglich ist.

Basierend auf der obigen Option, bei der das Extrahieren, Dekomprimieren und anschließende erneute Komprimieren und Speichern einer großen Anzahl von Sicherungsarchiven nicht erforderlich wäre, würde eine Art von Datenquelle zu den vorhandenen Sicherungs- und Wiederherstellungssystemen hinzugefügt, in denen ein Index der Benutzer vorhanden ist gewählt haben, werden ihre Daten gelöscht aufgezeichnet. Wenn eine Wiederherstellung von gesicherten Daten nach Abschluss der Wiederherstellung durchgeführt werden muss, kann der Index geladen und die Datensätze überprüft werden, um festzustellen, ob bei allen im Index aufgeführten Personen die persönlichen Daten durch Sicherungen wiederhergestellt und anschließend gelöscht wurden wie benötigt. In Anbetracht der Tatsache, dass Sie angeben, dass Sie sich bisher nicht damit befassen mussten, besteht eine einfachere Möglichkeit (angesichts der geringen Wahrscheinlichkeit, Daten wiederherzustellen, bei denen sich jemand für das Löschen entschieden hat) darin, die Aufzeichnungen der Löschanforderungen in Papierform mit einer minimalen Menge von Daten zu führen Daten, die zum Identifizieren des zu löschenden Datensatzes benötigt werden, und Erstellen einer Geschäftsrichtlinie, bei der einer der nach der Datenwiederherstellung ausgeführten Schritte darin besteht, diese Datensätze mit der wiederhergestellten Datenbank zu vergleichen und festzustellen, ob ein Datensatz wiederhergestellt wurde, der gelöscht werden soll.

Dies würde auf der Grundlage meiner Lektüre des Gesetzes und der Lektüre des Begleitartikels durch die Anwaltskanzlei Morgan Lewis funktionieren und es wäre unwahrscheinlich, dass ein größerer Aufwand auch nur ein manueller Prozess wäre, da die Anzahl der Datensätze, die vor der Löschung angefordert werden müssten Die empfohlene Zeitspanne für die automatische Zerstörung von Daten nach 6 Jahren wäre anfangs gering, und wenn man die Seltenheit annimmt, dass vollständige Kopien von Datenbanken aus Sicherungsarchiven wiederhergestellt werden müssen, würde dies dazu führen, dass diese auf ein äußerst geringes Maß reduziert werden, wodurch der Prozess erreicht werden könnte In sehr kurzer Zeit durchläuft ein vordefinierter Benutzer die angeforderten Daten und sucht sie auf der Grundlage der Löschindexliste, um sicherzustellen, dass sie nach einer Wiederherstellung manuell wieder gelöscht werden. Basierend auf Ihren Angaben würde dies bedeuten, dass wahrscheinlich nur Daten, die in den letzten 93 Tagen gelöscht wurden, erneut manuell gelöscht werden müssen (noch weniger, da dies eine höhere Wahrscheinlichkeit für die Wiederherstellung eines neueren Backups darstellt), was einen minimalen Personalaufwand bedeuten würde und Gewährleistung der Einhaltung des Gesetzes.

4

Sie sollten keine Anfragen zum Löschen persönlicher Daten erhalten, wenn Sie bewährte Methoden zum Schutz der Daten von Personen befolgen und Daten nicht länger als nötig speichern.

In Großbritannien gibt es kein Gesetz, wie lange Sie personenbezogene Daten speichern können. Es besagt jedoch, dass Sie diese nur so lange speichern sollten, wie Sie dies benötigen.

Quelle

Personenbezogene Daten, die für einen oder mehrere Zwecke verarbeitet werden, dürfen nicht länger aufbewahrt werden, als dies für diesen Zweck oder diese Zwecke erforderlich ist.

Dies ist das fünfte Datenschutzprinzip. In der Praxis bedeutet dies, dass Sie Folgendes tun müssen:

  • überprüfen Sie, wie lange Sie personenbezogene Daten aufbewahren.
  • berücksichtigen Sie den Zweck oder die Zwecke, für die Sie die Informationen aufbewahren, um zu entscheiden, ob (und wie lange) Sie diese aufbewahren sollen.
  • informationen, die für diesen Zweck oder diese Zwecke nicht mehr benötigt werden, sicher löschen;
  • und aktualisieren, archivieren oder sicher löschen Sie Informationen, wenn sie nicht mehr aktuell sind.

Es empfiehlt sich, Ihren Kunden die Auswahl der Aufbewahrungsdauer oder das Löschen der Daten selbst zu ermöglichen. Sie können auch ein Wiederherstellungsprotokoll verwenden, das die Daten 30 Tage nach dem Löschen aufbewahrt, sofern die Löschung nicht abgebrochen wird der Abgrund.

Auf diese Weise haben Sie keine Bedenken, wie lange Sie Daten speichern, da Kunden die Möglichkeit haben, die Daten selbst zu löschen.

1
Simon Hayter