Kopia zapasowa a RODO. O tym, jak konieczna jest kopia zapasowa danych, dowiedział się każdy, kto stracił ważne dane. Prawie zawsze w kopii zapasowej znajdują się dane osobowe, np. klientów czy pracowników. Dlatego wykonując kopie zapasowe musimy pamiętać o zasadach zawartych w Rozporządzeniu o Ochronie Danych Osobowych (RODO).

W tym artykule odpowiemy na najważniejsze pytania dotyczące kopii zapasowej w ujęciu RODO.

• Co Rozporządzenie o Ochronie Danych Osobowych (RODO) mówi w kwestii danych osobowych zawartych w kopiach zapasowych?
• Do jakich zasad należy dostosować się wykonując backup danych?
• Kopia zapasowa – jak ją wykonać w zgodzie z RODO?

Czym jest backup?

Backup, czyli kopia zapasowa to proces tworzenia kopii danych do wykorzystania w razie utraty lub zniszczenia oryginalnych plików danych.

Kopia zapasowa a RODO

Uwaga na dane osobowe znajdujące się w kopii zapasowej!

Jednym z praw osoby, której dane dotyczą jest tzw. prawo do bycia zapomnianym. Taki zapis zobowiązuje Administratora Danych Osobowych do natychmiastowego zaprzestania przetwarzania danych oraz usunięcia (lub zanonimizowania) ich, w przypadku wniesienia takiego żądania, przez osobę której dane dotyczą.

Wyjątek: Administrator może dalej przetwarzać (w tym przechowywać) dane tej osoby jeśli funkcjonuje inna podstawa prawna (np. w przypadku umowy kupna – sprzedaży), ale tylko do pierwotnych celów, do których przetwarzanie jest konieczne.

Inaczej mówiąc: jeśli osoba, której dane przetwarzasz wniesie żądanie o ich usunięcie, a Ty jako administrator danych nie masz innych podstaw prawnych do ich przetwarzania, zobowiązany jesteś do ich bezzwłocznego usunięcia z każdego miejsca– czyli z wykonanych kopii zapasowych również.

Kopia zapasowa a Rozporządzenie o ochronie danych osobowych RODO.

Przepisy RODO nakazują chronić kopię zapasowe tak samo jak oryginał zapisu. Oznacza to przede wszystkim, że: 

• kopie zapasowe powinny spełniać zasadę autentyczności i integralności danych. Dane osobowe znajdujące się w backupie powinny być takie same jak w oryginale (tzn. nie powinny zawierać nadmiarowych danych osobowych, np. tych, których cel przetwarzania wygasł lub osoba, której dane dotyczą wycofała zgodę na ich dalsze przetwarzanie). Wszelkie różnice między kopią a oryginałem mogą wskazywać na naruszenie ochrony danych;
• Administrator danych osobowych (ADO) musi właściwie określić okresy retencji zarówno tych danych, które przetwarza jak i tych które przechowuje w kopii zapasowej. Przykładowo: jeśli ADO posiada w systemie dane, których okres retencji wynosi 1 miesiąc, a na kopii zapasowej przechowuje te dane 1 rok to przechowuje te dane bezzasadnie;
• dostępność do danych zawartych w kopii powinna być szybka i łatwa, z każdego poziomu pracy.

Co jeśli usunięcie danych osobowych z kopii jest utrudnione lub niemożliwe?

Przy ustaleniu możliwości usunięcia danych osobowych z kopii zapasowej należy wziąć pod uwagę ograniczenia wynikające z technologicznych uwarunkowań kopii zapasowych oraz ryzyka naruszenia praw i wolności. W poradniku „RODO dla sektora fintech” wydanego przez Ministerstwo Cyfryzacji można przeczytać:

„ …należy uznać, że akceptowalnym rozwiązaniem jest, aby dane osobowe były kasowane tylko razem z całą kopią zapasową, po ustaniu podstaw przetwarzania wszystkich zawartych w niej danych osobowych lub po ustaniu przydatności kopii zapasowej. Do tego czasu, kopia zapasowa (zapisane w niej dane osobowe) powinny zostać „wyłączone z przetwarzania” co oznacza, że mogą być dalej przetwarzane, jednak należy ograniczyć ich przetwarzanie tylko do przechowywania…”

Dane zawarte w kopii zapasowej nie mogą być w żaden sposób wykorzystywane za wyjątkiem sytuacji, w której konieczne będzie wykorzystanie kopii zapasowej. Z uwagi na konieczność zapewnienia integralności kopii, dane osobowe w niej utrwalone nie muszą być kasowane w sposób selektywny, np. na żądanie osoby, której dane dotyczą. Należy pamiętać, aby kopia została zabezpieczona w sposób ograniczający ryzyko dostępu do danych osobom nieuprawnionym, czy ryzyko wykorzystania kopii zapasowej niezgodnie z jej przeznaczeniem. Ponadto, czas przechowywania kopii powinien odpowiadać standardom technologicznym i branżowym.

Co warto backup’ować?

Wszelkie informacje, które mogą zostać zagrożone utraceniem w wyniku ataku hakerskiego, awarii, czy błędu pracownika. W szczególności warto zwrócić uwagę na dane zawarte w:

• pojedynczych plikach,
• folderach,
• bazach danych,
• poczcie mailowej,
• urządzeniach końcowych (np. urządzenia wielofunkcyjne, urządzenia sieciowe),
• serwerach,
• maszynach wirtualnych.

Na jakim nośniku można wykonać kopie zapasową?

Kopie zapasowe można wykonać za pomocą takich nośników danych, jak:

• Pendrive
• Płyty CD, DVD
• Zewnętrzne dyski
• Taśmy magnetyczne
• Osobne serwery

Pamiętajmy jednak o zabezpieczeniu odpowiednio silnym hasłem nośnika na który wykonujemy kopie. O tym jak tworzyć silne hasła przeczytasz tutaj: link

Backup w chmurze

Do tej kopii zapasowej można uzyskać dostęp z dowolnego miejsca, pod warunkiem dostępu do Internetu. To rozwiązanie ma jednak wadę – każde zerwanie łącza internetowego skutkuje brakiem dostępu do danych.

Chmura publiczna świetnie sprawdzi się tam, gdzie liczy się dostępność i wygoda użytkowania.

Wybór metody wykonania kopii zapasowej powinien być zależny od ilości i rozmiaru danych, jakie zamierzamy powielić, a także od:

• częstotliwości tworzenia kopii
• częstotliwości zmiany danych
• używanego urządzenia.

Jak skutecznie utworzyć kopię zapasową?

Reguła 3-2-1

3

W trzech kopiach powinniśmy przechowywać nasze dane (jeden oryginał i dwie kopie zapasowe na różnych nośnikach). Dlaczego aż trzy? Prawdopodobieństwo wystąpienia awarii dwóch nośników jednocześnie jest większe niż prawdopodobieństwo awarii trzech nośników- dlatego warto mieć tę trzecią kopię.

2

Kopię powinniśmy przechowywać na dwóch różnych nośnikach jednocześnie.

1

Kopie warto przechowywać w różnych lokalizacjach. Jeśli utracimy dostęp do jednej kopii, posiadamy dostęp do drugiego, bo była w innym miejscu.  

Jaki rodzaj kopii wykonać?

Istnieją trzy główne rodzaje backupu- warto zastanowić się, który z nich będzie najlepszy w wypadku danych, które chcemy zabezpieczyć.

• Kopia pełna czyli kopia podstawowa; obejmuje wszystkie wskazane pliki.
• Kopia różnicowa – archiwizowane jest to, czym różni się obecny stan danych od stanu z najnowszej pełnej kopii.
• Kopia przyrostowa –  archiwizowane jest tylko to, co przybyło (przyrosło) po wykonaniu najnowszej kopii.

10 najważniejszych zasad kopii zapasowych

1. Twórz backup regularnie, w możliwie najmniejszych odstępach czasu.
2. Przechowuj kopie zapasową na urządzeniu zewnętrznym.
3. Stosuj zasadę 3-2-1.
4. Twórz backup automatycznie, a nie ręcznie.
5. Nie zapominaj o skopiowaniu e-maili.
6. Upewnij się, czy możesz odzyskać dane zapisane na kopii zapasowej.
7. Przygotuj plan przywracania danych.
8. Regularnie aktualizuj oprogramowanie i urządzenia.
9. Korzystaj z migawek pamięci masowej, czyli widoku danych na poziomie obrazu zarejestrowanych w określonym momencie.
10. Nie zapominaj o kopiach zapasowych danych zapisanych na smartfonach, tabletach czy konsolach.

Wszystkie wytyczne dotyczące zakresu, sposobu czy przechowywania kopii zapasowych powinny zostać zapisane w polityce bezpieczeństwa informacji lub w wyodrębnionym załączniku stanowiąc uzupełnienie głównego dokumentu. Każdy z pracowników powinien zapoznać się z tymi zasadami oraz przestrzegać ich.

Sprawdź, jak możemy pomóc chronić dane osobowe w Twojej firmie:
Kurs RODO online – https://www.e-kursyrodo.pl/kurs/rodo-kurs-ogolny-2/
Indywidualna oferta dla firm – https://www.e-kursyrodo.pl/oferta-dla-firm/
Pełna oferta ochrony danych osobowych w Twojej firmie – https://standarder.pl/oferta-ochrona-danych/