Xóa các bản sao lưu - Yêu cầu xóa dữ liệu khách hàng - Đạo luật bảo vệ dữ liệu 1998


7

Hôm nay, khách hàng đã có quyền xóa dữ liệu của họ và tiếp tục một cuộc nói chuyện thú vị về dữ liệu được sao lưu (chúng tôi có một cửa sổ 93 ngày để sao lưu trên AWS s3)

Tôi đã tự hỏi nếu / làm thế nào bất cứ ai ngoài đó đi về xóa dữ liệu khách hàng trong các bản sao lưu? Có vẻ như hành động bảo vệ dữ liệu này cũng bao gồm dữ liệu được sao lưu?

Làm thế nào để bạn giải quyết vấn đề này trong các tình huống như của tôi, nơi chúng tôi có tệp sao lưu hàng đêm 73 GB được tạo mỗi ngày (mở rộng lên 589GB dữ liệu và 117GB tệp nhật ký) vì vậy về mặt lý thuyết nếu điều này có thể thực thi đầy đủ và bao gồm các bản cập nhật thì chúng tôi cần khôi phục 93 sao lưu nó sẽ mất:

Khôi phục sao lưu - 3 giờ
Xóa dữ liệu khách hàng - 1 phút - 2 giờ (tùy thuộc vào cách sử dụng)
Sao lưu 50 phút

(Tôi đánh giá cao rằng mặc dù đây là một cơ sở dữ liệu lớn đối với tôi, làm việc trong một công ty nhỏ, nhưng điều này vẫn còn nhỏ so với các doanh nghiệp!)

Vì vậy, nếu chúng tôi tạo một ứng dụng tự động làm điều này, sẽ mất tối thiểu [4 giờ cho mỗi lần sao lưu] * 93 = 372 giờ (15 ngày rưỡi!) Xử lý (trên một máy chủ riêng biệt, vì vậy chúng tôi không ảnh hưởng hệ thống sống của chúng tôi)

May mắn thay, chúng tôi chưa có yêu cầu như thế này, nhưng mối quan tâm khác của tôi về vấn đề này là, nếu người viết kịch bản xóa dữ liệu vô tình xóa một phần dữ liệu của ai đó, giờ đây chúng tôi không có bản sao lưu để sao lưu! Chắc chắn điều này sẽ đi ngược lại SLA của bạn sao lưu?

Tôi mong muốn được nghe quan điểm của mọi người và bất kỳ bằng chứng nào của pháp luật về điều này?


1
Theo "Đạo luật bảo vệ dữ liệu năm 1998", có lẽ bạn đang đề cập đến DPA của Anh ?
MrWhite ngày

Tôi không biết luật, nhưng về cách thực hiện, ngay cả khi bạn có thể, nó sẽ phụ thuộc vào phương pháp sao lưu của bạn. Sao lưu (và khôi phục, v.v.) bằng rsync khác với r1soft khác với mọi thứ khác.
Steve

1
@ w3dk vâng, ý tôi là DPA của Anh
Liam Wheldon

@Steve Chúng tôi tạo các bản sao lưu MSSQL hàng đêm, tôi thậm chí không bao gồm nhật ký giao dịch vào việc này vì chúng chỉ được giữ trong 7 ngày vì vậy sẽ phù hợp với một cửa sổ hợp lý.
Liam Wheldon ngày

Câu trả lời:


4

Morgan Lewis là một công ty luật có văn phòng tại Anh và họ đã công bố thông tin (tính đến năm 2012, đây là ấn phẩm có thẩm quyền gần đây nhất mà tôi có thể tìm thấy về chủ đề này) về hướng dẫn của ICO về xóa dữ liệu cá nhân theo DPA 1998.

Theo đánh giá pháp lý của họ về hướng dẫn, ICO đã nhận ra sự khó khăn trong việc xóa dữ liệu điện tử theo hành vi vì nó vẫn có thể tồn tại trong các hệ thống của tổ chức dưới hình thức này hay hình thức khác (hồ sơ dự phòng dường như được áp dụng ở đây) và vì vậy họ đã áp dụng những gì họ đề cập đến như một "cách tiếp cận thực tế" đối với việc xóa dữ liệu điện tử trên cơ sở rằng có thể đưa dữ liệu "vượt quá mức sử dụng" mà không thực sự xóa mọi dấu vết cuối cùng của dữ liệu. Bài báo nói rằng những phát hiện chính của ICO là ...

  • Trường hợp thông tin đã bị xóa, nhưng nơi vẫn còn tồn tại trong "ether điện tử", dữ liệu đó sẽ không phải là "dữ liệu trực tiếp" và do đó, các vấn đề tuân thủ bảo vệ dữ liệu sẽ không áp dụng cho dữ liệu, miễn là bộ điều khiển dữ liệu không có ý định để sử dụng hoặc truy cập lại dữ liệu. ICO rút ra một sự tương tự với một túi các tập tin giấy vụn - có thể khôi phục thông tin từ giấy vụn, nhưng sẽ vô cùng khó khăn và không chắc là tổ chức sẽ có ý định làm như vậy.

  • Bộ điều khiển dữ liệu có thể đưa dữ liệu chưa được xóa "vượt quá khả năng sử dụng" nếu bộ điều khiển dữ liệu không thể hoặc sẽ không sử dụng dữ liệu cá nhân để thông báo bất kỳ quyết định nào đối với bất kỳ cá nhân nào hoặc theo cách ảnh hưởng đến cá nhân bằng mọi cách, không cung cấp cho bất kỳ tổ chức nào khác quyền truy cập vào dữ liệu cá nhân, đặt các biện pháp bảo mật thích hợp liên quan đến dữ liệu và cam kết xóa thông tin vĩnh viễn nếu và khi có thể.

Dựa trên một tùy chọn ở trên không yêu cầu trích xuất, giải nén, sau đó giải nén và lưu trữ một số lượng lớn tài liệu lưu trữ dự phòng sẽ thêm một số dạng nguồn dữ liệu riêng biệt vào hệ thống sao lưu và phục hồi hiện có nơi chỉ mục của những người có chọn để xóa dữ liệu của họ được ghi lại. Sau đó, nếu việc khôi phục dữ liệu được sao lưu cần phải được thực hiện sau khi khôi phục xong thì chỉ mục có thể được tải và các bản ghi đi qua để xem có ai được liệt kê trong chỉ mục đã khôi phục thông tin cá nhân của họ thông qua các bản sao lưu không, và sau đó xóa nó đi khi cần thiết

Điều này sẽ hoạt động dựa trên việc tôi đọc Đạo luật và đọc bài viết hỗ trợ của công ty luật Morgan Lewis và sẽ không gây rắc rối lớn ngay cả một quy trình thủ công vì số lượng hồ sơ sẽ được yêu cầu xóa trước đó với thời gian hủy dữ liệu tự động 6 năm được khuyến nghị sẽ bắt đầu thấp và khi được thực hiện với sự hiếm khi cần khôi phục các bản sao hoàn chỉnh của cơ sở dữ liệu từ kho lưu trữ dự phòng sẽ giảm xuống mức cực kỳ nhỏ, nhờ đó quá trình có thể đạt được trong một khoảng thời gian rất nhỏ bởi một người dùng được xác định trước sẽ trải qua và tìm kiếm dữ liệu được yêu cầu dựa trên danh sách chỉ mục xóa để đảm bảo rằng nếu nó đã được khôi phục thì nó sẽ bị xóa một lần nữa.Dựa trên những gì bạn đã tuyên bố, điều này có nghĩa là chỉ có dữ liệu bị xóa trong 93 ngày qua có thể cần phải xóa lại một cách thủ công (thậm chí ít cơ hội hơn vì đó là cơ hội cao hơn để khôi phục bản sao lưu gần đây hơn) sẽ đưa ra các yêu cầu nhân lực tối thiểu và đảm bảo tuân thủ hành động.


Xin chào Chris, cảm ơn bạn rất nhiều vì đã phản hồi sâu sắc cho truy vấn của tôi! Nó vượt xa loại phản ứng mà tôi mong đợi và trùng khớp với suy nghĩ của tôi về việc sao lưu không bao giờ bị thay đổi. Tôi đã chuyển nó cho phần còn lại của đội ngũ quản lý vì đây là một khu vực mơ hồ.
Liam Wheldon ngày

Tôi thực sự vừa xem qua bài báo trong khi tìm kiếm mọi thứ về "luật sods" này là bài viết dành cho những người khác tham khảo lexology.com/l Library / cảm ơn một lần nữa Chris vì phản hồi của bạn!
Liam Wheldon ngày

1

Bạn thực sự không nên nhận yêu cầu xóa dữ liệu cá nhân nếu bạn đang tuân thủ các thực tiễn tốt trong việc bảo vệ dữ liệu của mọi người và không lưu trữ dữ liệu lâu hơn bạn cần.

Vương quốc Anh không có luật lưu trữ dữ liệu cá nhân trong bao lâu nhưng điều đó nói rằng bạn chỉ nên lưu trữ miễn là bạn cần.

Nguồn

Dữ liệu cá nhân được xử lý cho bất kỳ mục đích hoặc mục đích nào sẽ không được lưu giữ lâu hơn cần thiết cho mục đích đó hoặc các mục đích đó.

Đây là nguyên tắc bảo vệ dữ liệu thứ năm. Trong thực tế, điều đó có nghĩa là bạn sẽ cần phải:

  • xem lại khoảng thời gian bạn giữ dữ liệu cá nhân;
  • xem xét mục đích hoặc mục đích bạn nắm giữ thông tin trong việc quyết định xem (và trong bao lâu) để giữ lại thông tin đó;
  • xóa an toàn thông tin không còn cần thiết cho mục đích này hoặc các mục đích này;
  • và cập nhật, lưu trữ hoặc xóa thông tin một cách an toàn nếu nó lỗi thời.

Một thực hành tốt là cho phép khách hàng của bạn chọn thời gian lưu giữ đó hoặc cho phép họ tự xóa dữ liệu, bạn cũng có thể có một giao thức phục hồi giữ dữ liệu trong 30 ngày sau khi xóa tại thời điểm trừ khi hủy bỏ dữ liệu vực thẳm.

Bằng cách này, bạn không phải lo lắng về việc bạn lưu trữ dữ liệu trong bao lâu vì khách hàng được cung cấp tùy chọn tự xóa dữ liệu.


Simon, đó là hiệu trưởng tốt, nhưng khi thực hiện sao lưu trên toàn máy chủ, việc có một tùy chọn khách hàng trong bao lâu hoặc để họ xóa là không thực tế
Steve

Bạn đang cung cấp dịch vụ nào?
Simon Hayter

@SimonHayter Điều này phù hợp hơn với các khách hàng như Nhà tù / trường học mà chúng tôi có, nếu họ kết thúc hợp đồng có quyền như bất kỳ công ty nào khác yêu cầu chúng tôi xóa tất cả dữ liệu thuộc về họ. Như tôi nói, cho đến nay chúng ta chỉ có một yêu cầu xóa dữ liệu khỏi nền tảng và không đến mức sao lưu. Chúng tôi cung cấp đánh giá. Tất cả dữ liệu khách hàng nằm trong 1 cơ sở dữ liệu (có nhiều nhược điểm khác, đặc biệt là với hơn 2.000 trong số đó là hệ thống cũ của chúng tôi)
Liam Wheldon

Tôi nghĩ rằng câu hỏi thực sự là ... dữ liệu được giữ trong bản sao lưu (bảo mật) trong khoảng thời gian 93 ngày có được tính vào "giữ dữ liệu lâu hơn mức cần thiết" không? Mặt khác, tôi đã không nghĩ (theo cách hiểu v.lrict của tôi về UK DPA 1998) rằng một "yêu cầu" đơn giản để xóa dữ liệu là đủ về mặt pháp lý. Điều này không yêu cầu lệnh của tòa án với lý do dữ liệu không chính xác hay sao? Mối quan tâm của tôi sẽ là trong trường hợp phục hồi dữ liệu và phục hồi các hồ sơ đã bị xóa trước đó (vì vậy một số loại lịch sử giao dịch sẽ cần được lưu giữ để ngăn chặn điều này).
MrWhite ngày

@LiamWainedon có vẻ như bạn cần cập nhật hệ thống sao lưu của mình. Có thể sao lưu SQL vào nhiều tệp, ví dụ: main.sql, customer-a.sql, v.v. Sau đó, khi khách hàng không còn là khách hàng, bạn xóa khách hàng-a.sql trong tất cả các tệp lưu trữ được nén, sau đó khi bạn thực hiện khôi phục, bạn cần ... khách hàng trước đó không ở trong vòng 93 ngày.
Simon Hayter
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.