Il a été question aujourd'hui du droit des clients de supprimer leurs données et de passer à une conversation intéressante sur les données sauvegardées (nous disposons d'une fenêtre de suivi de 93 jours pour les sauvegardes sur AWS s3).
Je me demandais si/comment quelqu'un se mettait à supprimer des données client dans les sauvegardes? Il semblerait que cette loi sur la protection des données couvre également les données sauvegardées?
Comment procéder à cela dans des situations telles que la mienne où un fichier de sauvegarde nocturne de 73 Go est créé chaque jour (extension des données à 589 Go et des fichiers journaux de 117 Go); ainsi, en théorie, si cela est pleinement exécutable et inclut les mises à jour, il est nécessaire de restaurer le fichier. les sauvegardes qu'il faudrait:
Restaurer la sauvegarde - 3 heures
Supprimer les données client - 1 minute - 2 heures (en fonction de l'utilisation)
Sauvegarde 50 minutes
(J'apprécie le fait que même s'il s'agit d'une grande base de données pour moi, travaillant dans une petite entreprise, celle-ci reste petite en comparaison des entreprises!)
Donc, si nous réalisions automatiquement une application, cela prendrait au moins [4 heures par sauvegarde] * 93 = 372 heures (15 jours et demi!) De traitement (sur un serveur séparé, de sorte que nous n'affectons pas notre système live)
Heureusement, nous n’avons pas encore reçu de requête de ce type, mais je crains que si la personne qui écrit le script supprime accidentellement une partie des données de quelqu'un d’elses, nous n’aurions plus aucune sauvegarde sur laquelle nous pourrions compter! Cela irait sûrement à l'encontre de votre SLA des sauvegardes?
Je suis impatient d'entendre les points de vue des gens et toute preuve de la loi à ce sujet?
Morgan Lewis est un cabinet d'avocats ayant des bureaux au Royaume-Uni et ils ont publié des informations (en 2012, qui est la plus récente publication faisant autorité que je puisse trouver à ce sujet) sur les orientations de l'OIC concernant la suppression de données à caractère personnel dans le cadre de la DPA de 1998.
Selon son évaluation juridique des orientations, le BCI a reconnu la difficulté de supprimer des données électroniques en vertu de la loi, car elles peuvent toujours exister dans les systèmes de l’organisation sous une forme ou une autre (les enregistrements de sauvegarde sembleraient s’appliquer ici) et ont adopté ce qui suit. ils se réfèrent à une "approche réaliste" en ce qui concerne la suppression des données électroniques, au motif qu'il est possible de mettre les données "hors d'usage" sans supprimer réellement toute trace des données. L'article indique que les principales conclusions de l'OIC sont ...
Lorsque des informations ont été supprimées, mais qu'elles existent toujours dans "l'éther électronique", ces données ne seront pas des "données actives" et, par conséquent, les problèmes de conformité de la protection des données ne s'appliqueront pas aux données, tant que le responsable du traitement n'a pas l'intention d'utiliser ou d'accéder à nouveau aux données. L'OIC établit une analogie avec un sac de dossiers en papier déchiqueté: il serait possible de reconstituer les informations à partir du papier déchiqueté, mais ce serait extrêmement difficile et il est peu probable que l'organisation ait l'intention de le faire.
Il est possible pour un responsable de traitement de mettre des données non supprimées "hors d'usage" s'il n'est pas en mesure, ou ne tentera pas, d'utiliser les données à caractère personnel pour informer de toute décision concernant un individu ou d'une manière affectant l'individu. en aucune manière, ne donne accès à aucune autre organisation aux données à caractère personnel, met en place les mesures de sécurité appropriées en ce qui concerne les données et s’engage à supprimer définitivement les informations, si et quand cela devient possible.
Sur la base de l’option susmentionnée, qui ne nécessiterait ni extraction, ni décompression, ni recompression, ni le stockage d’un grand nombre d’archives de sauvegarde, ce serait d’ajouter une forme de source de données distincte aux systèmes de sauvegarde et de restauration existants, où un index des ont opté pour la suppression de leurs données sont enregistrées. Ensuite, si une restauration des données sauvegardées doit être effectuée une fois la restauration terminée, l'index peut être chargé et les enregistrements consultés pour déterminer si les informations personnelles d'une personne répertoriée dans l'index ont été restaurées via des sauvegardes, puis supprimées. comme requis. Compte tenu du fait que vous indiquez que vous n'avez pas eu à traiter cette question à ce jour, une option plus simple (compte tenu du faible risque de restauration des données lorsqu'un utilisateur a choisi d'être supprimé) consisterait à conserver des enregistrements papier des demandes de suppression avec le minimum de données nécessaires pour identifier l’enregistrement à supprimer et établir une politique d’entreprise dans laquelle l’une des étapes à suivre après la restauration des données consiste à comparer ces enregistrements à la base de données restaurée et à vérifier si un enregistrement supposé avoir été supprimé a été restauré.
Cela fonctionnerait sur la base de ma lecture de la loi et de l'article connexe du cabinet d'avocats Morgan Lewis et ne risquerait pas de causer de gros ennuis, même s'il s'agissait d'un processus manuel, car le nombre de documents qu'il serait demandé de supprimer avant Pour commencer, il serait peu long de procéder à l'autodestruction des données recommandée sur une période de 6 ans, et avec la rareté de devoir restaurer des copies complètes des bases de données à partir d'archives de sauvegarde, le processus serait réduit à un niveau extrêmement faible, ce qui permettrait de réaliser le processus très peu de temps, par un utilisateur prédéfini parcourant et recherchant les données demandées sur la base de la liste d’index de suppression, afin de s’assurer que si elle a été restaurée, elle est ensuite supprimée manuellement. Sur la base de ce que vous avez déclaré, cela signifierait que seules les données supprimées au cours des 93 derniers jours devraient probablement être supprimées manuellement (encore moins de chances, car il y a plus de chance de restaurer une sauvegarde plus récente), ce qui présenterait des besoins en main-d'œuvre minimes et assurer le respect de la loi.
Vous ne devriez pas recevoir de demandes de suppression de données personnelles si vous suivez les bonnes pratiques en matière de protection des données des personnes et ne stockez pas les données plus longtemps que nécessaire.
Au Royaume-Uni, il n’existe pas de loi sur la durée de conservation des données personnelles, mais il est conseillé de ne les stocker que le temps nécessaire.
Les données à caractère personnel traitées à quelque fin que ce soit ne seront pas conservées plus longtemps qu'il n'est nécessaire à cette fin ou à ces fins.
C'est le cinquième principe de protection des données. En pratique, cela signifie que vous devrez:
- examinez la durée de conservation des données personnelles;
- considérer le ou les buts pour lesquels vous détenez les informations afin de décider si (et pour combien de temps) de les conserver;
- supprimer en toute sécurité les informations qui ne sont plus nécessaires à cette fin ou à ces fins;
- et mettre à jour, archiver ou supprimer en toute sécurité des informations si elles deviennent obsolètes.
Une bonne pratique serait de permettre à vos clients de choisir la durée de conservation ou de supprimer les données eux-mêmes. Vous pouvez également avoir un protocole de non-suppression qui conserve les données pendant 30 jours après la suppression, auquel cas, sauf annulation, les purge. les abysses.
De cette façon, vous ne vous inquiétez pas de la durée pendant laquelle vous stockez des données puisque les clients ont la possibilité de les supprimer eux-mêmes.