Les også: De fleste vet ikke hva de har lagret — eller når de skal slette det
Ni tilsynsmyndigheter i Europa har innledet formelle etterforskninger etter EDPB sin koordinerte tilsynsaksjon om sletting. Et av funnene som gikk igjen — virksomheter sletter data fra produksjonssystemene, men ikke fra backup.
Teknisk sett er det forståelig. Backup-systemer er designet for å bevare, ikke slette. Men GDPR skiller ikke mellom produksjonsdata og backup-data. Personopplysninger er personopplysninger uansett hvor de ligger.
Det betyr at lagringstidene i behandlingsprotokollen må ta høyde for backup-syklusen. Og at du trenger en plan for hvordan data i backup faktisk slettes — eller i det minste gjøres utilgjengelig — når lagringstiden utløper.
Hva betyr dette for deg?
Sjekk om backup-rutinen din har en plan for sletting. Hvis backup-en overskrives hver 90. dag, er det kanskje godt nok. Hvis den arkiveres permanent — har du et problem.
Inspirert av: EDPB