gdpr和备份:潜在的雷区容易避免
要在备份中查找个人数据实际上是不可能的,这将在理论上 - 意思是组织违反一般数据保护规则(GDPR)遵守的关键方面,即删除或被遗忘的权利。
但是,在实践中,组织应假设此类数据仅受到生产系统可用于生产系统的GDPR。根据安全咨询煤炭的董事总经理安迪巴拉特的说法。
GDPR提供了数据主题的权利 - 即,组织持有数据的习惯性 - 将其数据删除或纠正数据,如果它不正确,则要纠正数据。这可能是一个问题,因为有几个原因,数据被保留在备份和快照中。
备份软件中的数据通常以不同通常的专有格式保持为原始应用格式。此外,根据备份软件,它可能无法搜索,实际上可能会在单独的系统上保持甚至在磁带上,在大多数情况下,哪些情况下不可搜索(除非您具有LTF)。
也可以如此,与快照和增量备份一样,特定主题上的数据以零碎形式存在,例如日常或更频繁的Δ。“备份通常是存档,关闭生产系统的时间点副本,”Barratt说。
“例如,快照可以包括众多副本的诸多副本,其包含关于一个人的整个信息链。因此,他们可能会根据您选择还原的内容提供不同的数据。“
因此,从技术的角度来看,几乎肯定是组织的备份可以包含无法轻松找到或处理的数据的情况从GDP的角度来看。
更多关于gdpr和存储
新的欧洲联盟数据保护法规对存储“个人可识别数据”的组织来说,请致力于存储“个人身份数据”的组织。我们看看实现合规所需的内容。一般数据保护规则在我们身上。Vigitrust的首席执行官Mathieu Gorge通过遵守数据主题的数据师所需的关键领域来谈谈,如何在请求中快速找到它。但是,根据Barratt,除非数据击中生产系统,否则不应该是一个问题。
“重要的是不要从技术角度来看,”他说。“为了维护数据,组织的合法兴趣,数据可能只能通过生产系统来实现GDPR。”
“所以,如果我们进行恢复,并且数据主题请求被删除或更正,那么应根据要求处理恢复备份中的任何相关数据,”他说。
Barratt的关键是为了确保生产数据集中的数据以符合方式处理。例如,他建议记录GDPR请求以及与它们相关联的任何处理都在数据上击中生产应用程序。
然而,他做了普及的辩护方式,作为更耐用的解决方案。“我们现在看到构建GDPR应用程序interfacesthat的开发人员可以在数据命中应用程序时处理数据请求,”他说。“在临时,所需要的是管理这些请求,以便我们知道数据是否击中生产,并且可以根据需要处理。”
“更广泛地,在必要时围绕保留长度而需要政策,”Barratt说。
下一步
gdpr和数据备份:一年之后