Löschen von Backups - Aufforderung zum Löschen von Kundendaten - Data Protection Act 1998

7

Es wurde heute über das Recht der Kunden auf Löschung ihrer Daten gesprochen und es wurde ein interessanter Vortrag über gesicherte Daten geführt (wir haben ein fortlaufendes 93-Tage-Fenster für Backups auf AWS s3).

Ich habe mich gefragt, ob / wie jemand da draußen Kundendaten in Backups löscht. Es scheint, dass dieses Datenschutzgesetz auch gesicherte Daten abdeckt.

Wie gehen Sie in Situationen wie meiner vor, in denen täglich eine nächtliche Sicherungsdatei mit 73 GB erstellt wird (Erweiterung auf 589 GB Daten und 117 GB Protokolldateien)? Wenn dies theoretisch vollständig durchsetzbar ist und Aktualisierungen enthält, müssen wir 93 wiederherstellen Backups würde es brauchen:

Backup wiederherstellen - 3 Stunden
Kundendaten löschen - 1 Minute - 2 Stunden (abhängig von der Nutzung)
Backup 50 Minuten

(Ich weiß zu schätzen, dass dies zwar eine große Datenbank für mich ist, die in einem kleinen Unternehmen arbeitet, aber im Vergleich zu Unternehmen immer noch klein ist!)

Wenn wir also eine Anwendung dazu veranlassen würden, dies automatisch zu tun, würde die Verarbeitung mindestens [4 Stunden pro Sicherung] * 93 = 372 Stunden (15,5 Tage!) (Auf einem separaten Server) dauern, sodass wir keine Auswirkungen haben unser Live-System)

Glücklicherweise hatten wir noch keine solche Anfrage, aber meine andere Sorge ist, wenn die Person, die das Skript zum Löschen der Daten schreibt, versehentlich einen Teil anderer Daten löscht, haben wir jetzt kein Backup, auf das wir zurückgreifen können! Sicherlich würde dies gegen Ihre SLA von Backups verstoßen?

Ich freue mich darauf, die Ansichten der Menschen und Beweise dafür zu hören.

Liam Wheldon
quelle
1
Vermutlich beziehen Sie sich mit "Data Protection Act 1998" auf die britische Datenschutzbehörde ?
MrWhite
Ich kenne das Gesetz nicht, aber wie es geht, hängt von Ihrer Sicherungsmethode ab, selbst wenn Sie können. Das Sichern (und Wiederherstellen usw.) mit rsync unterscheidet sich von r1soft von allem anderen.
Steve
1
@ w3dk ja ich meinte die UK DPA
Liam Wheldon
@Steve Wir erstellen nächtliche MSSQL-Backups. Ich habe noch nicht einmal Transaktionsprotokolle in diese aufgenommen, da sie ohnehin nur 7 Tage aufbewahrt werden und daher in ein angemessenes Fenster passen.
Liam Wheldon

Antworten:

4

Morgan Lewis ist eine Anwaltskanzlei mit Büros in Großbritannien und hat Informationen (ab 2012 die jüngste maßgebliche Veröffentlichung, die ich zu diesem Thema finden kann) zu den Leitlinien des ICO zum Löschen personenbezogener Daten gemäß DPA 1998 veröffentlicht.

Nach ihrer rechtlichen Bewertung der Leitlinien erkannte das ICO die Schwierigkeit an, elektronische Daten im Rahmen des Gesetzes zu löschen, da diese in der einen oder anderen Form noch in den Systemen der Organisation vorhanden sein können (hier scheinen Sicherungsaufzeichnungen zu gelten), und als solche haben sie was übernommen Sie werden als "realistischer Ansatz" für die Löschung elektronischer Daten bezeichnet, da es möglich ist, die Daten "nicht mehr zu verwenden", ohne tatsächlich jede letzte Spur der Daten zu löschen. Der Artikel besagt, dass die wichtigsten Ergebnisse des ICO ...

  • Wenn Informationen gelöscht wurden, diese aber noch im "elektronischen Äther" vorhanden sind, handelt es sich bei diesen Daten nicht um "Live-Daten". Daher gelten für die Daten keine Datenschutzkonformitätsprobleme, solange der für die Verarbeitung Verantwortliche dies nicht beabsichtigt um die Daten erneut zu verwenden oder darauf zuzugreifen. Das ICO zieht eine Analogie mit einer Tüte Papierschnitzel-Dateien - es wäre möglich, die Informationen aus dem Papierschnitzel wiederherzustellen, aber es wäre äußerst schwierig, und es ist unwahrscheinlich, dass die Organisation dies beabsichtigen würde.

  • Es ist einem Datenverantwortlichen möglich, nicht gelöschte Daten "nicht mehr zu verwenden", wenn der Datenverantwortliche nicht in der Lage ist oder nicht versuchen wird, die personenbezogenen Daten zu verwenden, um Entscheidungen in Bezug auf eine Person oder in einer Weise zu treffen, die die Person betrifft In keiner Weise gewährt es einer anderen Organisation Zugriff auf die personenbezogenen Daten, ergreift geeignete Sicherheitsmaßnahmen in Bezug auf die Daten und verpflichtet sich, die Informationen dauerhaft zu löschen, wenn dies möglich wird.

Basierend auf der obigen Option würde eine Option, die das Extrahieren, Dekomprimieren, anschließende Rekomprimieren und Speichern einer großen Anzahl von Sicherungsarchiven nicht erfordern würde, darin bestehen, eine Datenquelle hinzuzufügen, die von den vorhandenen Sicherungs- und Wiederherstellungssystemen getrennt ist und über einen Index von Personen verfügt, die über eine solche verfügen entschieden, dass ihre Daten gelöscht werden, werden aufgezeichnet. Wenn dann nach Abschluss der Wiederherstellung eine Wiederherstellung der gesicherten Daten durchgeführt werden muss, kann der Index geladen und die Datensätze durchlaufen werden, um festzustellen, ob die im Index aufgeführten Personen ihre persönlichen Informationen durch Sicherungen wiederhergestellt und anschließend gelöscht haben wie benötigt.

Dies würde auf der Grundlage meiner Lektüre des Gesetzes und meiner Lektüre des unterstützenden Artikels durch die Anwaltskanzlei Morgan Lewis funktionieren und würde wahrscheinlich keinen größeren Aufwand verursachen, da es sich um einen manuellen Prozess handelt, da die Anzahl der Datensätze, die zuvor gelöscht werden müssten Die empfohlene 6-Jahres-Zeitachse für die automatische Zerstörung von Daten wäre zunächst gering, und wenn man davon ausgeht, dass nur vollständige Kopien von Datenbanken aus Sicherungsarchiven wiederhergestellt werden müssen, wird dies auf ein äußerst kleines Maß reduziert, wodurch der Prozess erreicht werden könnte in sehr kurzer Zeit durch einen vordefinierten Benutzer, der die angeforderten Daten anhand der Löschindexliste durchläuft und sucht, um sicherzustellen, dass sie nach ihrer Wiederherstellung wieder manuell gelöscht werden.Basierend auf Ihren Angaben würde dies bedeuten, dass nur Daten, die in den letzten 93 Tagen gelöscht wurden, wahrscheinlich erneut manuell gelöscht werden müssten (noch weniger Wahrscheinlichkeit, da dies eine höhere Wahrscheinlichkeit für die Wiederherstellung einer neueren Sicherung darstellt), was einen minimalen Personalbedarf bedeuten würde Gewährleistung der Einhaltung des Gesetzes.

Chris Rutherfurd
quelle
Hallo Chris, vielen Dank für deine ausführliche Antwort auf meine Frage! Es geht weit über die Art von Reaktion hinaus, die ich erwartet hatte, und stimmt mit meinen Gedanken überein, dass Backups niemals geändert werden. Ich habe dies an den Rest des Managementteams weitergegeben, da es sich um einen so vagen Bereich handelt.
Liam Wheldon
Ich bin gerade auf den Artikel gestoßen, als ich nach diesem "Sods-Gesetz" gesucht habe. Hier ist der Artikel für die Referenz aller anderen. Lexology.com/library/… Nochmals vielen Dank, Chris, für deine Antwort!
Liam Wheldon
1

Sie sollten nicht wirklich Anfragen zum Löschen personenbezogener Daten erhalten, wenn Sie bewährte Methoden zum Schutz der Daten von Personen befolgen und Daten nicht länger als nötig speichern.

In Großbritannien gibt es kein Gesetz, wie lange Sie personenbezogene Daten speichern dürfen, aber es besagt, dass Sie diese immer nur so lange speichern sollten, wie Sie müssen.

Quelle

Personenbezogene Daten, die für einen Zweck oder Zwecke verarbeitet werden, dürfen nicht länger aufbewahrt werden, als dies für diesen Zweck oder diese Zwecke erforderlich ist.

Dies ist das fünfte Datenschutzprinzip. In der Praxis bedeutet dies, dass Sie:

  • Überprüfen Sie, wie lange Sie personenbezogene Daten aufbewahren.
  • Berücksichtigen Sie den Zweck oder die Zwecke, für die Sie die Informationen aufbewahren, um zu entscheiden, ob (und wie lange) sie aufbewahrt werden sollen.
  • Informationen, die für diesen oder diese Zwecke nicht mehr benötigt werden, sicher löschen;
  • und Informationen zu aktualisieren, zu archivieren oder sicher zu löschen, wenn sie veraltet sind.

Es empfiehlt sich, Ihren Kunden die Auswahl der Aufbewahrungsdauer zu ermöglichen oder ihnen das Löschen der Daten selbst zu ermöglichen. Sie können auch ein Protokoll zum Wiederherstellen verwenden, das die Daten 30 Tage nach dem Löschen enthält. An diesem Punkt werden die Daten nicht gelöscht, sofern sie nicht gelöscht werden der Abgrund.

Auf diese Weise haben Sie keine Bedenken, wie lange Sie Daten speichern, da Kunden die Möglichkeit haben, die Daten selbst zu löschen.

Simon Hayter
quelle
Simon, das ist im Prinzip gut, aber wenn serverweite Backups durchgeführt werden, ist es nicht realistisch, eine Kundenoption für die Dauer oder das Löschen zu haben
Steve
Welchen Service bieten Sie an?
Simon Hayter
@SimonHayter Dies ist eher im Sinne von Kunden wie Gefängnissen / Schulen, die wir haben und die, wenn sie einen Vertrag beendet haben, das Recht haben, wie jedes andere Unternehmen zu verlangen, dass wir alle zu ihnen gehörenden Daten löschen. Wie ich bereits sagte, hatten wir bisher nur die Anfrage, Daten von der Plattform zu entfernen und nicht im Umfang der Sicherung. Wir bieten Bewertungen. Alle Kundendaten befinden sich in einer Datenbank (mehrere haben andere Nachteile, insbesondere mit über 2.000, wie es unser altes System getan hat)
Liam Wheldon
Ich denke, die eigentliche Frage ist ... zählen die Daten, die 93 Tage lang in (sicheren) Backups gespeichert wurden, für "Daten länger als nötig aufbewahren"? Ansonsten hätte ich (nach meinem v.begrenzten Verständnis der britischen Datenschutzbehörde 1998) nicht gedacht, dass eine einfache "Anfrage" zum Löschen von Daten rechtlich ausreichen würde. Erfordert dies nicht eine gerichtliche Anordnung mit der Begründung, dass die Daten falsch sind oder so? Mein Anliegen wäre der Fall einer Datenwiederherstellung und der Wiederherstellung zuvor gelöschter Datensätze (daher müsste eine Art Transaktionsverlauf aufbewahrt werden, um dies zu verhindern).
MrWhite
@LiamWheldon klingt so, als müssten Sie Ihr Backup-System aktualisieren. Es ist möglich, SQL in mehreren Dateien zu sichern, z. B. main.sql, customer-a.sql usw. Wenn ein Kunde nicht länger Kunde ist, löschen Sie "customer-a.sql" in allen komprimierten Archivdateien. Wenn Sie dann ein Rollback durchführen, müssen Sie ... dass der vorherige Kunde nicht innerhalb der 93-tägigen Aufbewahrungsfrist liegt.
Simon Hayter