Back-ups en gearchiveerde gegevens vallen onder de reikwijdte van de AVG, simpelweg omdat:
(a) De reikwijdte van de gegevens waarop de verordening van toepassing is, wordt gedefinieerd als:
Deze verordening is van toepassing op de verwerking van persoonsgegevens geheel of gedeeltelijk met geautomatiseerde middelen en op de verwerking anders dan via geautomatiseerde middelen van persoonsgegevens die deel uitmaken van een archiveringssysteem of bedoeld zijn om deel uit te maken van een bestandssysteem.
( GDPR, artikel 2 (1): materiële reikwijdte, pagina 32)
en (b) de vermelde uitsluitingen in artikel 2, lid 2, vermeld niets over back-ups / archieven (ook op pagina 32).
De nieuwe regels voor de meeste organisaties zullen betekenen dat ze de manier waarop ze hun back-up / herstel procedures zodat risico's op datalekken worden beheerd en aanzienlijk worden teruggebracht tot een niveau dat voldoet aan de gegevensbeschermingsbeginselen in artikel 5, lid 1, en zodat ze naleving kunnen aantonen zoals vereist door artikel 5, lid 2:
1 . Persoonsgegevens zullen:
(a) rechtmatig, eerlijk en op een transparante manier worden verwerkt in relatie tot de betrokkene ('rechtmatigheid, eerlijkheid en transparantie');
(b) verzameld voor gespecificeerde, expliciete en legitieme doeleinden en niet verder verwerkt op een manier die onverenigbaar is met die doeleinden ; verdere verwerking voor archiveringsdoeleinden in het algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden wordt, in overeenstemming met artikel 89, lid 1, niet beschouwd als onverenigbaar met de oorspronkelijke doeleinden ('doelbinding');
(c) adequaat, relevant en beperkt tot wat nodig is met betrekking tot de doeleinden waarvoor ze worden verwerkt ('gegevensminimalisatie');
(d) nauwkeurig en, waar nodig, up-to-date gehouden; alle redelijke maatregelen moeten worden genomen om ervoor te zorgen dat persoonsgegevens die onjuist zijn, gelet op de doeleinden waarvoor ze worden verwerkt, onverwijld worden gewist of gecorrigeerd ('juistheid');
( e) bewaard worden in een vorm die de identificatie van betrokkenen niet langer toestaat dan nodig voor de doeleinden waarvoor de persoonlijke gegevens worden verwerkt; persoonsgegevens mogen voor langere perioden worden bewaard, voor zover de persoonsgegevens uitsluitend worden verwerkt voor archiveringsdoeleinden van algemeen belang, wetenschappelijk of historisch onderzoek of statistische doeleinden in overeenstemming met artikel 89, lid 1, onder voorbehoud van de uitvoering van de passende technische en organisatorische maatregelen vereist door deze verordening om de rechten en vrijheden van de betrokkene te beschermen ('opslagbeperking');
(f) verwerkt op een manier die een passende beveiliging van de persoonsgegevens garandeert, inclusief bescherming tegen ongeoorloofde of onwettige verwerking en tegen onopzettelijk verlies, vernietiging of beschadiging, met behulp van passende technische of organisatorische maatregelen ('integriteit en vertrouwelijkheid') .
2. De verwerkingsverantwoordelijke is verantwoordelijk voor, en in staat zijn om naleving van paragraaf 1 ('aansprakelijkheid') aan te tonen.
( AVG, artikel 5: principes met betrekking tot de verwerking van persoonsgegevens , pagina's 35-36)
Enkele praktische tips om te helpen met GDPR-compliance:
-
In plaats van alles in bulk te back-uppen als hele systemen, may vinden het het gemakkelijkst om systeemback-ups en back-ups van persoonlijke gegevens te scheiden, zodat systeemback-ups veel langer kunnen worden bewaard dan voor de persoonsgegevens is toegestaan / gerechtvaardigd.
-
Voor grotere organisaties met veel complexere back-upregelingen, back-ups met veel hogere capaciteit en tapesystemen met archieven die offline worden bewaard, moeten ze mogelijk een nieuwe back-upstrategie ontwikkelen die voldoet aan de wettelijke vereisten van de AVG om ervoor te zorgen dat 'gewiste' records worden niet langer bewaard dan nodig is, en dat oudere back-ups worden vervangen door nieuwere back-ups zodat verouderde / verouderde persoonlijke gegevens niet worden bewaard en gecorrigeerde / gewijzigde records zonder vertraging in back-ups van kracht worden.
-
Organisaties die gewend zijn geraakt om voor altijd back-ups van alles te bewaren zullen hun praktijken en cultuur moeten aanpassen om te voldoen aan 'wat nodig is' en 'niet langer dan nodig 'door het implementeren van een back-upstrategie die bewaartermijnen heeft gedefinieerd voor specifieke gegevenssets of records, indien van toepassing.
Als een opgeslagen back-up een vorm heeft die het erg moeilijk maakt om wijzigen (bijv. een enkel record binnen een grote database die meerdere back-uptapes beslaat) records bevatten die een betrokkene heeft gewist, dan kan het kunnen als redelijk worden beschouwd als deze records worden gewist bij elke volgende herstelbewerking voorafgaand aan de verwerking van de gegevens, totdat deze records worden niet opgenomen in de back-ups. U moet een register bijhouden van iedereen die om vergeten vraagt, en vergeet niet om op de juiste data follow-up te geven om het wissen te voltooien als dit niet onmiddellijk kan worden gedaan, en wanneer de gegevens worden vernietigd, moet de betrokkene worden geïnformeerd:
De verwerkingsverantwoordelijke verstrekt onverwijld en in ieder geval binnen een maand na ontvangst van de kennisgeving op een verzoek uit hoofde van de artikelen 15 tot en met 22 aan de betrokkene informatie over de genomen maatregelen verzoek . Die termijn kan indien nodig met twee maanden worden verlengd, rekening houdend met de complexiteit en het aantal verzoeken. De verwerkingsverantwoordelijke stelt de betrokkene binnen een maand na ontvangst van het verzoek in kennis van een dergelijke verlenging, samen met de redenen voor de vertraging. Wanneer de betrokkene het verzoek indient via elektronische vorm, wordt de informatie waar mogelijk langs elektronische weg verstrekt, tenzij de betrokkene anders verzoekt.
-
Als de verwerkingsverantwoordelijke dat niet doet actie ondernemen op verzoek van de betrokkene, stelt de verwerkingsverantwoordelijke de betrokkene onverwijld en uiterlijk binnen een maand na ontvangst van het verzoek in kennis van de redenen om geen actie te ondernemen en over de mogelijkheid om een klacht in te dienen bij een toezichthoudende autoriteit en het zoeken naar een gerechtelijke voorziening.
( AVG, artikel 12 (3-4): transparante informatie, communicatie en modaliteiten voor de uitoefening van de rechten van de betrokkene, pagina 40)
Om de zaken nog ingewikkelder te maken, moet u, als externe verwerkers ('ontvangers') toegang hebben tot hun gegevens, hen ook informeren:
De verwerkingsverantwoordelijke zal elke rectificatie of verwijdering van persoonlijke gegevens doorgeven of beperken verwerking uitgevoerd in overeenstemming met artikel 16, artikel 17, lid 1 en artikel 18 aan elke ontvanger aan wie de persoonsgegevens zijn verstrekt , tenzij dit onmogelijk blijkt of onevenredig veel moeite kost . De verwerkingsverantwoordelijke zal de betrokkene informeren over die ontvangers als de betrokkene daarom verzoekt.
( AVG, artikel 19: meldingsplicht met betrekking tot rectificatie of verwijdering van persoonsgegevens of beperking van verwerking, pagina 45)
In het geval van een inbreuk het kan zijn dat u nog steeds betrokkenen op de hoogte moet stellen die hebben verzocht om vergeten te worden!
Het is duidelijk dat de back-ups nog steeds moeten worden gecodeerd en onderworpen aan passende bescherming, zie Artikel 32 - Beveiliging van de verwerking (pagina's 51-52) .