Xóa các bản sao lưu - Yêu cầu xóa dữ liệu khách hàng - Đạo luật bảo vệ dữ liệu 1998

Hôm nay, khách hàng đã có quyền xóa dữ liệu của họ và tiếp tục một cuộc nói chuyện thú vị về dữ liệu được sao lưu (chúng tôi có một cửa sổ 93 ngày để sao lưu trên AWS s3)

Tôi đã tự hỏi nếu / làm thế nào bất cứ ai ngoài đó đi về xóa dữ liệu khách hàng trong các bản sao lưu? Có vẻ như hành động bảo vệ dữ liệu này cũng bao gồm dữ liệu được sao lưu?

Làm thế nào để bạn giải quyết vấn đề này trong các tình huống như của tôi, nơi chúng tôi có tệp sao lưu hàng đêm 73 GB được tạo mỗi ngày (mở rộng lên 589GB dữ liệu và 117GB tệp nhật ký) vì vậy về mặt lý thuyết nếu điều này có thể thực thi đầy đủ và bao gồm các bản cập nhật thì chúng tôi cần khôi phục 93 sao lưu nó sẽ mất:

Khôi phục sao lưu - 3 giờ
Xóa dữ liệu khách hàng - 1 phút - 2 giờ (tùy thuộc vào cách sử dụng)
Sao lưu 50 phút

(Tôi đánh giá cao rằng mặc dù đây là một cơ sở dữ liệu lớn đối với tôi, làm việc trong một công ty nhỏ, nhưng điều này vẫn còn nhỏ so với các doanh nghiệp!)

Vì vậy, nếu chúng tôi tạo một ứng dụng tự động làm điều này, sẽ mất tối thiểu [4 giờ cho mỗi lần sao lưu] * 93 = 372 giờ (15 ngày rưỡi!) Xử lý (trên một máy chủ riêng biệt, vì vậy chúng tôi không ảnh hưởng hệ thống sống của chúng tôi)

May mắn thay, chúng tôi chưa có yêu cầu như thế này, nhưng mối quan tâm khác của tôi về vấn đề này là, nếu người viết kịch bản xóa dữ liệu vô tình xóa một phần dữ liệu của ai đó, giờ đây chúng tôi không có bản sao lưu để sao lưu! Chắc chắn điều này sẽ đi ngược lại SLA của bạn sao lưu?

Tôi mong muốn được nghe quan điểm của mọi người và bất kỳ bằng chứng nào của pháp luật về điều này?

Morgan Lewis là một công ty luật có văn phòng tại Anh và họ đã công bố thông tin (tính đến năm 2012, đây là ấn phẩm có thẩm quyền gần đây nhất mà tôi có thể tìm thấy về chủ đề này) về hướng dẫn của ICO về xóa dữ liệu cá nhân theo DPA 1998.

Theo đánh giá pháp lý của họ về hướng dẫn, ICO đã nhận ra sự khó khăn trong việc xóa dữ liệu điện tử theo hành vi vì nó vẫn có thể tồn tại trong các hệ thống của tổ chức dưới hình thức này hay hình thức khác (hồ sơ dự phòng dường như được áp dụng ở đây) và vì vậy họ đã áp dụng những gì họ đề cập đến như một "cách tiếp cận thực tế" đối với việc xóa dữ liệu điện tử trên cơ sở rằng có thể đưa dữ liệu "vượt quá mức sử dụng" mà không thực sự xóa mọi dấu vết cuối cùng của dữ liệu. Bài báo nói rằng những phát hiện chính của ICO là ...

• Trường hợp thông tin đã bị xóa, nhưng nơi vẫn còn tồn tại trong "ether điện tử", dữ liệu đó sẽ không phải là "dữ liệu trực tiếp" và do đó, các vấn đề tuân thủ bảo vệ dữ liệu sẽ không áp dụng cho dữ liệu, miễn là bộ điều khiển dữ liệu không có ý định để sử dụng hoặc truy cập lại dữ liệu. ICO rút ra một sự tương tự với một túi các tập tin giấy vụn - có thể khôi phục thông tin từ giấy vụn, nhưng sẽ vô cùng khó khăn và không chắc là tổ chức sẽ có ý định làm như vậy.

• Bộ điều khiển dữ liệu có thể đưa dữ liệu chưa được xóa "vượt quá khả năng sử dụng" nếu bộ điều khiển dữ liệu không thể hoặc sẽ không sử dụng dữ liệu cá nhân để thông báo bất kỳ quyết định nào đối với bất kỳ cá nhân nào hoặc theo cách ảnh hưởng đến cá nhân bằng mọi cách, không cung cấp cho bất kỳ tổ chức nào khác quyền truy cập vào dữ liệu cá nhân, đặt các biện pháp bảo mật thích hợp liên quan đến dữ liệu và cam kết xóa thông tin vĩnh viễn nếu và khi có thể.

Dựa trên một tùy chọn ở trên không yêu cầu trích xuất, giải nén, sau đó giải nén và lưu trữ một số lượng lớn tài liệu lưu trữ dự phòng sẽ thêm một số dạng nguồn dữ liệu riêng biệt vào hệ thống sao lưu và phục hồi hiện có nơi chỉ mục của những người có chọn để xóa dữ liệu của họ được ghi lại. Sau đó, nếu việc khôi phục dữ liệu được sao lưu cần phải được thực hiện sau khi khôi phục xong thì chỉ mục có thể được tải và các bản ghi đi qua để xem có ai được liệt kê trong chỉ mục đã khôi phục thông tin cá nhân của họ thông qua các bản sao lưu không, và sau đó xóa nó đi khi cần thiết

Điều này sẽ hoạt động dựa trên việc tôi đọc Đạo luật và đọc bài viết hỗ trợ của công ty luật Morgan Lewis và sẽ không gây rắc rối lớn ngay cả một quy trình thủ công vì số lượng hồ sơ sẽ được yêu cầu xóa trước đó với thời gian hủy dữ liệu tự động 6 năm được khuyến nghị sẽ bắt đầu thấp và khi được thực hiện với sự hiếm khi cần khôi phục các bản sao hoàn chỉnh của cơ sở dữ liệu từ kho lưu trữ dự phòng sẽ giảm xuống mức cực kỳ nhỏ, nhờ đó quá trình có thể đạt được trong một khoảng thời gian rất nhỏ bởi một người dùng được xác định trước sẽ trải qua và tìm kiếm dữ liệu được yêu cầu dựa trên danh sách chỉ mục xóa để đảm bảo rằng nếu nó đã được khôi phục thì nó sẽ bị xóa một lần nữa.Dựa trên những gì bạn đã tuyên bố, điều này có nghĩa là chỉ có dữ liệu bị xóa trong 93 ngày qua có thể cần phải xóa lại một cách thủ công (thậm chí ít cơ hội hơn vì đó là cơ hội cao hơn để khôi phục bản sao lưu gần đây hơn) sẽ đưa ra các yêu cầu nhân lực tối thiểu và đảm bảo tuân thủ hành động.

Bạn thực sự không nên nhận yêu cầu xóa dữ liệu cá nhân nếu bạn đang tuân thủ các thực tiễn tốt trong việc bảo vệ dữ liệu của mọi người và không lưu trữ dữ liệu lâu hơn bạn cần.

Vương quốc Anh không có luật lưu trữ dữ liệu cá nhân trong bao lâu nhưng điều đó nói rằng bạn chỉ nên lưu trữ miễn là bạn cần.

Nguồn

Dữ liệu cá nhân được xử lý cho bất kỳ mục đích hoặc mục đích nào sẽ không được lưu giữ lâu hơn cần thiết cho mục đích đó hoặc các mục đích đó.

Đây là nguyên tắc bảo vệ dữ liệu thứ năm. Trong thực tế, điều đó có nghĩa là bạn sẽ cần phải:

• xem lại khoảng thời gian bạn giữ dữ liệu cá nhân;
• xem xét mục đích hoặc mục đích bạn nắm giữ thông tin trong việc quyết định xem (và trong bao lâu) để giữ lại thông tin đó;
• xóa an toàn thông tin không còn cần thiết cho mục đích này hoặc các mục đích này;
• và cập nhật, lưu trữ hoặc xóa thông tin một cách an toàn nếu nó lỗi thời.

Một thực hành tốt là cho phép khách hàng của bạn chọn thời gian lưu giữ đó hoặc cho phép họ tự xóa dữ liệu, bạn cũng có thể có một giao thức phục hồi giữ dữ liệu trong 30 ngày sau khi xóa tại thời điểm trừ khi hủy bỏ dữ liệu vực thẳm.

Bằng cách này, bạn không phải lo lắng về việc bạn lưu trữ dữ liệu trong bao lâu vì khách hàng được cung cấp tùy chọn tự xóa dữ liệu.