Löschen von Backups - Aufforderung zum Löschen von Kundendaten - Data Protection Act 1998

Es wurde heute über das Recht der Kunden auf Löschung ihrer Daten gesprochen und es wurde ein interessanter Vortrag über gesicherte Daten geführt (wir haben ein fortlaufendes 93-Tage-Fenster für Backups auf AWS s3).

Ich habe mich gefragt, ob / wie jemand da draußen Kundendaten in Backups löscht. Es scheint, dass dieses Datenschutzgesetz auch gesicherte Daten abdeckt.

Wie gehen Sie in Situationen wie meiner vor, in denen täglich eine nächtliche Sicherungsdatei mit 73 GB erstellt wird (Erweiterung auf 589 GB Daten und 117 GB Protokolldateien)? Wenn dies theoretisch vollständig durchsetzbar ist und Aktualisierungen enthält, müssen wir 93 wiederherstellen Backups würde es brauchen:

Backup wiederherstellen - 3 Stunden
Kundendaten löschen - 1 Minute - 2 Stunden (abhängig von der Nutzung)
Backup 50 Minuten

(Ich weiß zu schätzen, dass dies zwar eine große Datenbank für mich ist, die in einem kleinen Unternehmen arbeitet, aber im Vergleich zu Unternehmen immer noch klein ist!)

Wenn wir also eine Anwendung dazu veranlassen würden, dies automatisch zu tun, würde die Verarbeitung mindestens [4 Stunden pro Sicherung] * 93 = 372 Stunden (15,5 Tage!) (Auf einem separaten Server) dauern, sodass wir keine Auswirkungen haben unser Live-System)

Glücklicherweise hatten wir noch keine solche Anfrage, aber meine andere Sorge ist, wenn die Person, die das Skript zum Löschen der Daten schreibt, versehentlich einen Teil anderer Daten löscht, haben wir jetzt kein Backup, auf das wir zurückgreifen können! Sicherlich würde dies gegen Ihre SLA von Backups verstoßen?

Ich freue mich darauf, die Ansichten der Menschen und Beweise dafür zu hören.

Morgan Lewis ist eine Anwaltskanzlei mit Büros in Großbritannien und hat Informationen (ab 2012 die jüngste maßgebliche Veröffentlichung, die ich zu diesem Thema finden kann) zu den Leitlinien des ICO zum Löschen personenbezogener Daten gemäß DPA 1998 veröffentlicht.

Nach ihrer rechtlichen Bewertung der Leitlinien erkannte das ICO die Schwierigkeit an, elektronische Daten im Rahmen des Gesetzes zu löschen, da diese in der einen oder anderen Form noch in den Systemen der Organisation vorhanden sein können (hier scheinen Sicherungsaufzeichnungen zu gelten), und als solche haben sie was übernommen Sie werden als "realistischer Ansatz" für die Löschung elektronischer Daten bezeichnet, da es möglich ist, die Daten "nicht mehr zu verwenden", ohne tatsächlich jede letzte Spur der Daten zu löschen. Der Artikel besagt, dass die wichtigsten Ergebnisse des ICO ...

• Wenn Informationen gelöscht wurden, diese aber noch im "elektronischen Äther" vorhanden sind, handelt es sich bei diesen Daten nicht um "Live-Daten". Daher gelten für die Daten keine Datenschutzkonformitätsprobleme, solange der für die Verarbeitung Verantwortliche dies nicht beabsichtigt um die Daten erneut zu verwenden oder darauf zuzugreifen. Das ICO zieht eine Analogie mit einer Tüte Papierschnitzel-Dateien - es wäre möglich, die Informationen aus dem Papierschnitzel wiederherzustellen, aber es wäre äußerst schwierig, und es ist unwahrscheinlich, dass die Organisation dies beabsichtigen würde.

• Es ist einem Datenverantwortlichen möglich, nicht gelöschte Daten "nicht mehr zu verwenden", wenn der Datenverantwortliche nicht in der Lage ist oder nicht versuchen wird, die personenbezogenen Daten zu verwenden, um Entscheidungen in Bezug auf eine Person oder in einer Weise zu treffen, die die Person betrifft In keiner Weise gewährt es einer anderen Organisation Zugriff auf die personenbezogenen Daten, ergreift geeignete Sicherheitsmaßnahmen in Bezug auf die Daten und verpflichtet sich, die Informationen dauerhaft zu löschen, wenn dies möglich wird.

Basierend auf der obigen Option würde eine Option, die das Extrahieren, Dekomprimieren, anschließende Rekomprimieren und Speichern einer großen Anzahl von Sicherungsarchiven nicht erfordern würde, darin bestehen, eine Datenquelle hinzuzufügen, die von den vorhandenen Sicherungs- und Wiederherstellungssystemen getrennt ist und über einen Index von Personen verfügt, die über eine solche verfügen entschieden, dass ihre Daten gelöscht werden, werden aufgezeichnet. Wenn dann nach Abschluss der Wiederherstellung eine Wiederherstellung der gesicherten Daten durchgeführt werden muss, kann der Index geladen und die Datensätze durchlaufen werden, um festzustellen, ob die im Index aufgeführten Personen ihre persönlichen Informationen durch Sicherungen wiederhergestellt und anschließend gelöscht haben wie benötigt.

Dies würde auf der Grundlage meiner Lektüre des Gesetzes und meiner Lektüre des unterstützenden Artikels durch die Anwaltskanzlei Morgan Lewis funktionieren und würde wahrscheinlich keinen größeren Aufwand verursachen, da es sich um einen manuellen Prozess handelt, da die Anzahl der Datensätze, die zuvor gelöscht werden müssten Die empfohlene 6-Jahres-Zeitachse für die automatische Zerstörung von Daten wäre zunächst gering, und wenn man davon ausgeht, dass nur vollständige Kopien von Datenbanken aus Sicherungsarchiven wiederhergestellt werden müssen, wird dies auf ein äußerst kleines Maß reduziert, wodurch der Prozess erreicht werden könnte in sehr kurzer Zeit durch einen vordefinierten Benutzer, der die angeforderten Daten anhand der Löschindexliste durchläuft und sucht, um sicherzustellen, dass sie nach ihrer Wiederherstellung wieder manuell gelöscht werden.Basierend auf Ihren Angaben würde dies bedeuten, dass nur Daten, die in den letzten 93 Tagen gelöscht wurden, wahrscheinlich erneut manuell gelöscht werden müssten (noch weniger Wahrscheinlichkeit, da dies eine höhere Wahrscheinlichkeit für die Wiederherstellung einer neueren Sicherung darstellt), was einen minimalen Personalbedarf bedeuten würde Gewährleistung der Einhaltung des Gesetzes.

Sie sollten nicht wirklich Anfragen zum Löschen personenbezogener Daten erhalten, wenn Sie bewährte Methoden zum Schutz der Daten von Personen befolgen und Daten nicht länger als nötig speichern.

In Großbritannien gibt es kein Gesetz, wie lange Sie personenbezogene Daten speichern dürfen, aber es besagt, dass Sie diese immer nur so lange speichern sollten, wie Sie müssen.

Quelle

Personenbezogene Daten, die für einen Zweck oder Zwecke verarbeitet werden, dürfen nicht länger aufbewahrt werden, als dies für diesen Zweck oder diese Zwecke erforderlich ist.

Dies ist das fünfte Datenschutzprinzip. In der Praxis bedeutet dies, dass Sie:

• Überprüfen Sie, wie lange Sie personenbezogene Daten aufbewahren.
• Berücksichtigen Sie den Zweck oder die Zwecke, für die Sie die Informationen aufbewahren, um zu entscheiden, ob (und wie lange) sie aufbewahrt werden sollen.
• Informationen, die für diesen oder diese Zwecke nicht mehr benötigt werden, sicher löschen;
• und Informationen zu aktualisieren, zu archivieren oder sicher zu löschen, wenn sie veraltet sind.

Es empfiehlt sich, Ihren Kunden die Auswahl der Aufbewahrungsdauer zu ermöglichen oder ihnen das Löschen der Daten selbst zu ermöglichen. Sie können auch ein Protokoll zum Wiederherstellen verwenden, das die Daten 30 Tage nach dem Löschen enthält. An diesem Punkt werden die Daten nicht gelöscht, sofern sie nicht gelöscht werden der Abgrund.

Auf diese Weise haben Sie keine Bedenken, wie lange Sie Daten speichern, da Kunden die Möglichkeit haben, die Daten selbst zu löschen.