Question:
Conformité au RGPD - s'étend-elle aux sauvegardes de bases de données et aux enregistrements archivés?
sharadov
2018-04-13 19:16:20 UTC
view on stackexchange narkive permalink

Comment les règles du RGPD affectent-elles les sauvegardes de bases de données ou les données archivées? En tant qu'entreprise, vous pouvez avoir des sauvegardes / données archivées remontant à des années. Selon les règles, lorsqu'un individu invoque «oubliez-moi», cela signifie que l'entreprise doit supprimer toutes les données relatives à l'individu. Cela concerne-t-il également les sauvegardes? Êtes-vous censé restaurer les sauvegardes et supprimer tous les enregistrements relatifs à l'individu? Ou lorsque l'individu demande tous les enregistrements qui lui sont liés, êtes-vous censé récupérer également tous les enregistrements archivés?

N'est-ce pas une réponse «oui» plutôt simple? Si les archives ou les sauvegardes étaient en quelque sorte exemptées, la loi deviendrait immédiatement inutile.
Il y a une ambiguïté à ce sujet, car vous pouvez avoir des sauvegardes d'années passées et elles sont stockées de manière compressée. Donc, si vous avez besoin de purger les données d'une personne, vous devrez localiser chaque sauvegarde, l'amener sur site si elle est située hors site (peut être sur des bandes) et la restaurer. Recherchez ensuite les données de cette personne et supprimez-les. Une tâche très chronophage. Ma question est donc la suivante: une organisation peut-elle choisir de ne pas effectuer cette tâche onéreuse?
C'est l'une des raisons pour lesquelles je serais surpris de constater que _toutes_ grandes entreprises Internet sont vraiment conformes au RGPD, quel que soit l'effort qu'elles ont déployé pour le devenir.
Ils s'en prennent aux gros poissons, ils veulent une action réglementaire contre les géants de l'internet et à juste titre.
Deux réponses:
richhallstoke
2018-04-17 21:37:46 UTC
view on stackexchange narkive permalink

Les sauvegardes et les données archivées sont incluses dans le champ d'application du RGPD, simplement parce que:

(a) Le champ d'application des données auxquelles le règlement s'applique est défini comme suit:

Le présent règlement s'applique au traitement des données à caractère personnel entièrement ou partiellement par des moyens automatisés et au traitement autre que par des moyens automatisés de données à caractère personnel qui font partie d'un fichier ou sont destinées à faire partie d'un système de classement.

( RGPD, article 2 (1): Champ d'application du matériel, page 32)

et (b) les exclusions répertoriées dans l'article 2 (2) ne mentionnent rien sur les sauvegardes / archives (également à la page 32).

Les nouvelles règles pour la plupart des organisations signifieront qu'elles devront revoir et éventuellement changer la façon dont elles opèrent leur sauvegarde / restauration procédures afin que les risques de violation de données soient gérés et considérablement réduits à un niveau qui respecte les principes de protection des données de l'article 5, paragraphe 1, et afin qu'ils puissent démontrer la conformité comme l'exige l'article 5, paragraphe 2:

1 Les données personnelles doivent être:

(a) traitées légalement, équitablement et de manière transparente en relation avec la personne concernée («licéité, loyauté et transparence»);

(b) collectées à des fins déterminées, explicites et légitimes et non traitées ultérieurement d'une manière incompatible avec ces finalités ; le traitement ultérieur à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques n'est pas considéré, conformément à l'article 89, paragraphe 1, comme étant incompatible avec les finalités initiales (`` limitation de la finalité '');

(c) adéquats, pertinents et limités à ce qui est nécessaire par rapport aux finalités pour lesquelles ils sont traités («minimisation des données»);

(d) exactes et, si nécessaire, mises à jour; toutes les mesures raisonnables doivent être prises pour garantir que les données à caractère personnel inexactes, eu égard aux finalités pour lesquelles elles sont traitées, soient effacées ou rectifiées sans délai ('exactitude');

( e) conservés sous une forme qui permet l'identification des personnes concernées pendant une durée n'excédant pas le temps nécessaire aux fins pour lesquelles les données à caractère personnel sont traitées; les données à caractère personnel peuvent être conservées pendant des périodes plus longues dans la mesure où les données à caractère personnel seront traitées uniquement à des fins d'archivage dans l'intérêt public, à des fins de recherche scientifique ou historique ou à des fins statistiques conformément à l'article 89, paragraphe 1, sous réserve de la mise en œuvre des mesures techniques et organisationnelles appropriées. les mesures requises par le présent règlement afin de sauvegarder les droits et libertés de la personne concernée (`` limitation du stockage '');

(f) traitées de manière à garantir une sécurité appropriée des données à caractère personnel, y compris la protection contre le traitement non autorisé ou illégal et contre la perte, la destruction ou les dommages accidentels, en utilisant des mesures techniques ou organisationnelles appropriées (`` intégrité et confidentialité '') .

2.Le responsable du traitement est responsable de, et être en mesure de démontrer le respect du paragraphe 1 («responsabilité») .

( RGPD, article 5: Principes relatifs au traitement des données personnelles , pages 35 à 36)

Quelques conseils pratiques pour vous aider à vous conformer au RGPD:

  • Plutôt que de tout sauvegarder en bloc comme des systèmes entiers, les organisations peuvent trouver plus facile de séparer les sauvegardes des systèmes et les sauvegardes des données personnelles afin que les sauvegardes des systèmes puissent être conservées pendant des périodes de conservation beaucoup plus longues que celles qui pourraient être autorisées / justifiées pour les données personnelles.

  • Pour les grandes organisations qui ont des arrangements de sauvegarde beaucoup plus complexes, des sauvegardes de capacité beaucoup plus élevée et des systèmes de bandes avec des archives qui sont conservées hors ligne, elles peuvent avoir besoin de créer une nouvelle stratégie de sauvegarde qui prendra en charge les exigences légales du RGPD pour garantir Les enregistrements `` effacés '' ne sont pas conservés plus longtemps que nécessaire, et les anciennes sauvegardes sont remplacées par des sauvegardes plus récentes afin que les données personnelles périmées / obsolètes ne soient pas conservées et les enregistrements rectifiés / modifiés prennent effet dans les sauvegardes sans délai.

  • Les organisations qui se sont habituées à conserver des sauvegardes de tout pour toujours devront modifier leurs pratiques et leur culture afin de se conformer au "ce qui est nécessaire" et "pas plus longtemps que nécessaire" 'en mettant en œuvre une stratégie de sauvegarde qui a défini des périodes de conservation pour des ensembles de données ou des enregistrements spécifiques, le cas échéant.

Si une sauvegarde stockée est sous une forme qui la rend très difficile à modifier (par exemple, un seul enregistrement dans une grande base de données qui couvre de nombreuses bandes de sauvegarde) contenait des enregistrements dont la personne concernée a demandé la suppression, alors il peut être considéré comme raisonnable si ces enregistrements sont effacés à chaque restauration ultérieure avant le traitement des données, jusqu'à ce que ces les enregistrements ne sont pas inclus dans les sauvegardes. Vous devrez garder une trace de toute personne qui demande à être oublié et n'oubliez pas de faire un suivi pour terminer l'effacement aux dates appropriées si cela ne peut pas être fait immédiatement, et lorsque les données sont détruites, la personne concernée doit être informé:

  1. Le responsable du traitement fournit des informations sur les mesures prises sur une demande en vertu des articles 15 à 22 à la personne concernée sans retard injustifié et en tout état de cause dans un délai d'un mois à compter de la réception de la demande . Ce délai peut être prolongé de deux mois supplémentaires si nécessaire, en tenant compte de la complexité et du nombre des demandes. Le responsable du traitement informe la personne concernée de cette prolongation dans un délai d'un mois à compter de la réception de la demande, en indiquant les raisons du retard. Lorsque la personne concernée fait la demande par voie électronique, les informations sont fournies par voie électronique dans la mesure du possible, sauf demande contraire de la personne concernée.

  2. Si le responsable du traitement ne le fait pas donne suite à la demande de la personne concernée, le responsable du traitement informe la personne concernée sans délai et au plus tard dans un délai d'un mois à compter de la réception de la demande des raisons pour lesquelles aucune action n'a été entreprise et de la possibilité de déposer une plainte auprès d'une autorité de contrôle et demander un recours judiciaire.

( RGPD, article 12 (3-4): Information, communication et modalités transparentes pour l'exercice de la droits de la personne concernée, page 40)

De plus, pour compliquer davantage les choses, si des sous-traitants tiers (`` destinataires '') ont eu accès à leurs données, vous devez également les informer:

Le responsable du traitement communiquera toute rectification ou effacement de données personnelles ou restreindra traitement effectué conformément à l'article 16, à l'article 17, paragraphe 1, et à l'article 18 à chaque destinataire auquel les données à caractère personnel ont été divulguées , sauf si cela s'avère impossible ou implique un effort disproportionné . Le responsable du traitement informe la personne concernée de ces destinataires si la personne concernée le demande.

( RGPD, article 19: Obligation de notification concernant la rectification ou l'effacement des données personnelles ou la limitation du traitement, page 45)

En cas de violation vous devrez peut-être avertir les personnes concernées qui ont demandé à être oubliées!

Il va de soi que les sauvegardes devront encore être cryptées et soumises à des protections appropriées, voir article 32 - Sécurité du traitement (pages 51-52) .

Je sais que cela profite au client en fin de compte, mais c'est simplement ridicule et terriblement coûteux pour les petites et moyennes entreprises de se conformer.
«Les organisations qui se sont habituées à conserver des sauvegardes de tout pour toujours devront modifier leurs pratiques et leur culture afin de se conformer» - je pense que cela va au cœur des choses. Vous ne pouvez pas conserver les données pour toujours, ce qui signifie naturellement qu'une fois que vous avez mis en place un processus pour supprimer les données de vos systèmes et bases de données en direct, vos sauvegardes deviendront également `` propres '' après un certain temps.
Pour la majorité des petites et moyennes entreprises, la majorité du travail lié à la conformité consistera à documenter et à mettre à jour les processus et contrôles formels concernant la manière dont les données personnelles sont gérées par l'organisation. Il me semble peu probable que les PME recevront beaucoup de demandes d'accès / d'effacement, et au moins les PME (moins de 250 employés) ne sont pas tenues de conserver des registres complets de traitement, ce qui réduit massivement le fardeau de ce que les grandes entreprises doivent faire.
@sharadov: C'est vrai. L'UE n'est pas connue pour être favorable aux petites entreprises.
@richhallstoke Merci, nous avons environ 400 personnes, avez-vous un document qui le mentionne explicitement?
L'article 30, paragraphe 5, de l'@sharadov dit: "Les obligations visées aux paragraphes 1 et 2 ne s'appliquent pas à une entreprise ou à une organisation employant moins de 250 personnes, à moins que le traitement qu'elle effectue soit susceptible d'entraîner un risque pour les droits et libertés de personnes concernées, le traitement n'est pas occasionnel ou le traitement comprend des catégories particulières de données visées à l'article 9, paragraphe 1, ou des données à caractère personnel relatives à des condamnations pénales et des infractions visées à l'article 10. " Ce n'est pas seulement lié à la taille de l'entreprise, ce qu'ils font l'affecte également - les FAI seront plus à risque que les coiffeurs!
wimh
2019-03-03 02:17:31 UTC
view on stackexchange narkive permalink

Selon les règles, lorsqu'un individu invoque «oubliez-moi», cela signifie que l'entreprise doit supprimer toutes les données relatives à l'individu.

C'est en partie faux. Art. 17 (1) énumère 6 raisons pour lesquelles les données doivent être supprimées. Les données doivent être supprimées uniquement lorsque l'une de ces conditions s'applique.

Cela concerne-t-il également les sauvegardes?

L'objectif principal d'une sauvegarde est de récupérer les données après leur perte. Cela signifie qu'une sauvegarde est un intérêt légitime d'une entreprise. Le traitement des données personnelles dans la sauvegarde est basé sur le point (f) de l ' Art. 6 (1).

Cela signifie que les points (a), (b), (d), (e) et (f) de l ' Art. 17 (1) ne s'appliquent pas. Cela ne laisse que le point (c):

(c) la personne concernée s'oppose au traitement conformément à l ' article 21 (1) et il n'y a pas de motif légitime impérieux pour le traitement, ou la personne concernée s'oppose au traitement conformément à l'article 21 (2);

L'article 21 (1) est :

  1. La personne concernée a le droit de s'opposer, pour des motifs liés à sa situation particulière, à tout moment au traitement des données personnelles la concernant sur la base point (e) ou (f) de l ' article 6 (1), y compris le profilage basé sur ces dispositions. Le responsable du traitement ne traitera plus les données à caractère personnel à moins que le responsable du traitement ne démontre des motifs légitimes impérieux pour le traitement qui l'emportent sur les intérêts, les droits et les libertés de la personne concernée ou pour l'établissement, l'exercice ou la défense de droits légaux.
    2. ol >

Garder la sauvegarde intacte est un motif légitime convaincant. Tout traitement sur une sauvegarde comporte un risque de perte de données. Créer une sauvegarde d'une sauvegarde va à l'encontre de l'objectif du traitement.

Cependant, en cas de récupération d'une sauvegarde, les données seront restaurées que l'individu a demandé de supprimer. Cela doit être évité. En particulier le cas où les données personnelles sont traitées à des fins de marketing. Dans ce cas, l ' article 21 (2) s'applique. Vous devez donc stocker une liste de toutes les demandes de suppression reçues après la création de la sauvegarde. Chaque fois que vous devez restaurer la sauvegarde, vous retraitez toutes les demandes de suppression avant d'utiliser les données. De cette façon, les données ne contiendront plus rien qui a été demandé à la suppression par l'individu. Bien sûr, vous avez également besoin d'une stratégie de sauvegarde appropriée de la liste des demandes de suppression.

Ou lorsque l'individu demande tous les enregistrements qui le concernent, êtes-vous censé récupérer également tous les enregistrements archivés?

Non, Art. 5 vous oblige à arrêter le traitement des données personnelles lorsque vous n'avez plus de finalité. Lorsque vous supprimez des données personnelles, vous avez une raison de les supprimer. Vous ne pouvez pas "annuler la suppression" de données uniquement pour une demande d'accès.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...