Domů / Bezpečnost / GDPR a zálohování

GDPR a zálohování: Jak zůstat v souladu s předpisy

Obecné nařízení o ochraně osobních údajů (GDPR) má přímý dopad na to, jak zálohujete data. Pochopte vztah mezi právem na výmaz a zálohami, požadavky na šifrování a pravidla pro přeshraniční přenosy.

GDPR a zálohy: Proč je to důležité

GDPR (General Data Protection Regulation / Obecné nařízení o ochraně osobních údajů, nařízení EU 2016/679) reguluje zpracování osobních údajů občanů EU. Zálohy obsahují kopie osobních údajů -- jména, e-maily, adresy, čísla účtů, zdravotní záznamy a další. Proto se na zálohy vztahují stejná pravidla GDPR jako na primární data.

Zálohy představují specifickou výzvu, protože:

  • Obsahují kopie dat, která mohla být v produkčních systémech již smazána
  • Jsou často uloženy na médiích, kde nelze selektivně mazat jednotlivé záznamy
  • Mohou být replikovány do více lokalit, včetně zemí mimo EU
  • Doba uchovávání záloh může přesáhnout zákonné lhůty pro retenci dat
Upozornění Tento článek poskytuje obecné informace o vztahu GDPR k zálohování. Nejedná se o právní poradenství. Pro konkrétní situaci konzultujte kvalifikovaného právníka specializujícího se na ochranu osobních údajů nebo pověřence pro ochranu osobních údajů (DPO).

Právo na výmaz vs. zálohy

Článek 17 GDPR dává subjektům údajů právo na výmaz jejich osobních údajů (tzv. "právo být zapomenut"). To vytváří napětí s principem zálohování -- jak smazat data ze zálohy, která je uložena jako monolitický soubor na pásce nebo v komprimovaném a šifrovaném archívu?

Praktické přístupy

Regulátoři obecně uznávají, že selektivní mazání ze záloh je technicky neproveditelné nebo nepřiměřeně náročné. Existují však přijatelná řešení:

  1. Definujte retenci záloh

    Nastavte jasné retenční politiky pro zálohy. Pokud vaše zálohy expirují po 90 dnech, data smazaná z produkce budou automaticky odstraněna i ze záloh nejpozději po 90 dnech. Dokumentujte tuto politiku.

  2. Evidence žádostí o výmaz

    Udržujte registr žádostí o výmaz. Pokud dojde k obnově ze zálohy, po obnově znovu proveďte výmazy z registru. Tím zajistíte, že obnovená data nebudou obsahovat údaje, které měly být smazány.

  3. Šifrování jako ochrana

    Šifrované zálohy s bezpečně uloženým klíčem nabízejí dodatečnou ochranu. Pokud je klíč pro konkrétní zálohu zničen, data jsou fakticky neobnovitelná (kryptografický výmaz).

  4. Minimalizace dat v zálohách

    Zvažte, zda je nutné zálohovat všechna data. Citlivé osobní údaje, které nejsou kritické pro provoz, mohou být ze záloh vyloučeny.

Doporučení z praxe Pokud subjekt požádá o výmaz, proveďte výmaz z produkčních systémů. Zálohy nechte přirozeně expirovat podle retenční politiky. Zaznamenejte žádost do registru výmazů. Pokud byste zálohu obnovili, aplikujte výmaz znovu. Toto řešení je regulátory obecně akceptováno jako přiměřené.

Data retention politiky

GDPR vyžaduje, abyste osobní údaje uchovávali pouze po dobu nezbytnou pro účel zpracování (princip omezení uložení, čl. 5 odst. 1 písm. e). To se vztahuje i na zálohy.

Jak nastavit retenci záloh

  • Identifikujte typy dat v zálohách a zákonné lhůty pro jejich uchování (účetní doklady 10 let, mzdová evidence 30 let, marketingové souhlasy do odvolání apod.)
  • Nastavte retenční pravidla pro každý typ zálohy (denní zálohy 30 dní, týdenní 12 týdnů, měsíční 12 měsíců, roční dle regulatorních požadavků)
  • Automatizujte mazání -- zálohy by měly být automaticky odstraněny po vypršení retenční doby
  • Dokumentujte politiku -- retence musí být zdokumentovaná a zdůvodněná pro případ auditu

Příklad retenční matice

Typ dat Zákonná lhůta Retence zálohy Poznámka
Účetní doklady 10 let 10 let + 1 rok Daňový řád
Mzdová evidence 30 let 30 let + 1 rok Zákon o organizaci a provádění soc. zabezpečení
Smluvní dokumentace 5 let po ukončení 6 let Promlčecí lhůta
Marketingové údaje Do odvolání souhlasu 90 dní Krátká retence záloh
Provozní logy 6 měsíců 6 měsíců Dle účelu zpracování

Šifrování záloh a GDPR

GDPR v článku 32 vyžaduje "přiměřená technická a organizační opatření" k zajištění bezpečnosti zpracování. Šifrování je výslovně zmíněno jako jedno z doporučených opatření (čl. 32 odst. 1 písm. a).

Proč šifrovat zálohy z pohledu GDPR

  • Ochrana při ztrátě média -- pokud ztratíte šifrovaný zálohovací disk, nemusí se jednat o narušení bezpečnosti osobních údajů (čl. 34 odst. 3 písm. a) -- data jsou pro nálezce nečitelná
  • Ochrana při přenosu -- zálohy přenášené přes internet (do cloudu) musí být chráněny šifrováním
  • Ochrana u zpracovatele -- pokud zálohy ukládáte u třetí strany (cloudový poskytovatel), šifrování na straně klienta zajistí, že zpracovatel nemá přístup k datům
Šifrování a povinnost hlášení Podle čl. 34 odst. 3 písm. a) GDPR nemusíte informovat subjekty údajů o narušení bezpečnosti, pokud byla data chráněna šifrováním a klíč nebyl kompromitován. To je silný argument pro šifrování veškerých záloh -- může vás ušetřit povinnosti individuálně informovat tisíce zákazníků.

Přeshraniční přenosy dat

Pokud zálohy ukládáte do cloudu, je pravděpodobné, že data opustí Českou republiku. GDPR reguluje přenosy osobních údajů mimo EHP (Evropský hospodářský prostor) v kapitole V (čl. 44-49):

Přenosy v rámci EHP

Přenosy osobních údajů v rámci EU/EHP nepodléhají žádným omezením. Zálohy uložené v datových centrech v Německu, Nizozemsku nebo Irsku jsou v pořádku.

Přenosy mimo EHP

Pro přenosy do třetích zemí potřebujete právní základ:

  • Rozhodnutí o přiměřenosti -- Evropská komise rozhodla, že daná země poskytuje přiměřenou ochranu (např. EU-U.S. Data Privacy Framework pro USA, další pro UK, Japonsko, Jižní Koreu aj.)
  • Standardní smluvní doložky (SCC) -- standardizované smlouvy schválené Evropskou komisí mezi správcem a příjemcem v třetí zemi
  • Závazná podniková pravidla (BCR) -- pro přenosy v rámci nadnárodních korporací

Praktické důsledky pro zálohy

  • Vybírejte cloudového poskytovatele s datovými centry v EU (AWS eu-central-1 Frankfurt, Azure West Europe, Google europe-west1)
  • Ověřte, kde jsou data skutečně uložena -- některé služby replikují data do více regionů
  • U amerických poskytovatelů zkontrolujte certifikaci EU-U.S. Data Privacy Framework nebo SCC
  • Šifrujte data na straně klienta -- i pokud data opustí EU, jsou nečitelná bez vašeho klíče

Smlouvy o zpracování (DPA)

Pokud využíváte třetí stranu pro ukládání záloh (cloudový poskytovatel, managed backup služba, housing provider), jedná se o zpracovatele osobních údajů ve smyslu GDPR. Článek 28 vyžaduje uzavření smlouvy o zpracování osobních údajů (DPA -- Data Processing Agreement).

Co musí DPA obsahovat

  • Předmět a dobu zpracování
  • Povahu a účel zpracování
  • Typ osobních údajů a kategorie subjektů
  • Práva a povinnosti správce
  • Povinnost zpracovatele zpracovávat údaje pouze na základě pokynů správce
  • Zajištění důvěrnosti osob oprávněných zpracovávat údaje
  • Technická a organizační opatření (šifrování, přístupová kontrola)
  • Podmínky pro zapojení dalšího zpracovatele (sub-processor)
  • Povinnost pomáhat správci s plněním práv subjektů údajů
  • Povinnost smazat nebo vrátit údaje po ukončení zpracování
  • Právo správce provádět audity
Tip: Velcí poskytovatelé mají DPA připravené AWS, Azure, Google Cloud, Backblaze a další velcí poskytovatelé nabízejí standardizované DPA (Data Processing Addendum), které jsou součástí podmínek služby. Ujistěte se, že jste je přijali a máte je archivovány.

Dokumentační požadavky

GDPR vyžaduje rozsáhlou dokumentaci zpracování osobních údajů (princip odpovědnosti, čl. 5 odst. 2). Pro zálohy to znamená:

Záznamy o činnostech zpracování (čl. 30)

Zahrňte zálohy do záznamů o činnostech zpracování:

  • Účel: zajištění dostupnosti dat, obnova po havárii, compliance
  • Kategorie údajů: dle obsahu zálohovaných systémů
  • Příjemci: cloudový poskytovatel (zpracovatel), IT správce
  • Přenosy do třetích zemí: ano/ne, právní základ
  • Lhůty pro výmaz: retenční politika záloh
  • Technická opatření: šifrování, přístupová kontrola, logování

DPIA (Data Protection Impact Assessment)

Pokud zálohy obsahují zvláštní kategorie osobních údajů (zdravotní údaje, biometrické údaje) nebo se jedná o rozsáhlé systematické zpracování, může být vyžadováno posouzení vlivu na ochranu osobních údajů (DPIA) dle čl. 35 GDPR.

Hlášení bezpečnostních incidentů

Pokud dojde k narušení bezpečnosti záloh (ztráta nešifrovaného média, neoprávněný přístup k zálohovacímu serveru, ransomware útok), GDPR vyžaduje:

Hlášení dozorovému úřadu (čl. 33)

  • Do 72 hodin od zjištění incidentu
  • Úřadu pro ochranu osobních údajů (ÚOOÚ) v ČR
  • Popis povahy narušení, počet dotčených subjektů, pravděpodobné důsledky, přijatá opatření
  • Výjimka: pokud je nepravděpodobné, že narušení představuje riziko pro práva subjektů (např. šifrovaná data)

Informování subjektů (čl. 34)

  • Pokud narušení pravděpodobně představuje vysoké riziko pro práva subjektů
  • Bez zbytečného odkladu
  • Výjimka: pokud byla data šifrována (klíč nebyl kompromitován), nebo byla přijata opatření eliminující riziko

Praktická implementace

Checklist GDPR compliance pro zálohy

  1. Zmapujte, jaké osobní údaje vaše zálohy obsahují
  2. Definujte a zdokumentujte retenční politiku pro každý typ zálohy
  3. Šifrujte zálohy (client-side encryption, AES-256)
  4. Uzavřete DPA se všemi zpracovateli (cloudoví poskytovatelé, hosting)
  5. Ověřte, že zálohy neopouštějí EHP bez právního základu
  6. Zahrňte zálohy do záznamů o činnostech zpracování
  7. Veďte registr žádostí o výmaz pro případ obnovy ze zálohy
  8. Omezte přístup k zálohám na minimum osob (princip need-to-know)
  9. Logujte přístupy k zálohám a obnovám
  10. Mějte incident response plán pro případ kompromitace záloh
  11. Pravidelně přehodnocujte nezbytnost uchovávání starších záloh
  12. Školte zaměstnance o nakládání se zálohami obsahujícími osobní údaje

Závěr

GDPR a zálohování nejsou v protikladu, ale vyžadují promyšlený přístup. Klíčem je jasně definovaná retenční politika, šifrování záloh na straně klienta, řádné DPA se zpracovateli a registr žádostí o výmaz pro případ obnovy. Většina regulátorů akceptuje, že selektivní mazání ze záloh je technicky nepraktické, pokud máte nastavenou přiměřenou retenční dobu a dokumentovaný proces.

Šifrování záloh je nejúčinnější opatření z pohledu GDPR -- chrání data při ztrátě média, snižuje závažnost bezpečnostních incidentů a může eliminovat povinnost individuálně informovat subjekty údajů.