Tworzenie kopii zapasowych danych osobowych to jeden ze środków bezpieczeństwa przetwarzania. Wprawdzie nie jest on obowiązkowy. Niemniej jednak w wielu przypadkach stosowanie takich kopii jest rekomendowane przez ekspertów. Sprawdź, na jakich zasadach wdrożyć i stosować kopie zapasowe danych w organizacji.
Przeczytaj:
RODO nie przewiduje wprost obowiązku tworzenia kopii zapasowych. Nie oznacza to, że w określonych sytuacjach stosowanie takich kopii nie jest zasadne. Zadaniem każdego administratora jest wszak stosowanie środków bezpieczeństwa adekwatnych do poziomu ryzyka. Jednocześnie przez cały okres przechowywania danych osobowych każdy administrator musi zapewnić ochronę przed:
Cechą danych, która zapewnia im odporność na te zagrożenia, jest ich integralność. Ma ona zapewnić, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.
Tworzenie kopii zapasowych przez administratorów danych jest ostatnią deską ratunku, aby zachować integralność danych, które w niekontrolowany sposób zostały utracone bądź trwale uszkodzone.
Oprócz tego każda osoba, której dotyczą dane osobowe przetwarzane w organizacji, ma prawo dostępu do tych danych (art. 15 RODO). Każda utrata tych danych oznacza zaś niemożność zapewnienia realizacji uprawnienia podmiotów danych.
Odpowiednio zabezpieczone i przechowywane kopie zapasowe zapewniają stały dostęp do danych przetwarzanych przez administratora.
Kopii zapasowych nie należy traktować jako zjawiska o charakterze czysto technicznym. Przestrzeń, w której przechowywane są kopie zapasowe, to element systemu informatycznego służącego do przetwarzania danych osobowych. Natomiast dane osobowe na kopiach zapasowych to nic innego jak ich odpowiedniki. Dlatego przechowywanie danych w kopii zapasowej to przetwarzanie, które podlega w pełnym zakresie RODO.
Dane z kopii zapasowych podlegają takim samym regulacjom jak dane osobowe przetwarzane przez administratora „na bieżąco”.
Tworzenie kopii zapasowych bywa mylone z archiwizacją danych. Tymczasem nie są to synonimy.
|
kopia zapasowa (backup) |
archiwizacja danych |
|
Jest to stworzenie kopii bezpieczeństwa danych osobowych. |
Jest to dalsze przetwarzanie danych osobowych (tj. przechowywanie). Wiąże się z przeniesieniem ich w inne miejsce. |
|
Pozwala odtworzyć oryginalne dane, jeśli zostaną uszkodzone lub dojdzie do ich utraty. |
Ma miejsce, gdy dotychczasowy cel przetwarzania danych został zrealizowany. Z drugiej strony powstaje nowy cel, bowiem przepisy wymagają przechowywania tych danych np. dokumentacji pracowniczej. |
|
Skopiowane dane nie są dostępne bezpośrednio dla użytkowników. Sięga się po nie tylko w przypadku utraty lub uszkodzenia oryginalnych danych. |
Użytkownicy muszą mieć zapewniony bezpośredni dostęp do zarchiwizowanych danych, jeśli zajdzie taka potrzeba. |
Kopie zapasowe w praktyce można podzielić na:
Warto zatem opracować procedurę stosowania kopii zapasowych. Może być to odrębna procedura, ale także element szerszej polityki bezpieczeństwa. Przed wejściem w życie RODO taki dokument podlegał rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Aktualnie rozporządzenie to już nie obowiązuje. Z drugiej strony można wyciągnąć z niego pewne wnioski. Na tej podstawie można określić w przyjętych regulacjach:
Także w przypadku danych osobowych przechowywanych w kopiach zapasowych obowiązuje reguła ograniczenia przechowywania. Tym samym dane w kopiach zapasowych mogą być przechowywane nie dłużej, niż jest to niezbędne do celów ich przetwarzania.
Gdy zrealizuje się cel, w jakim dane były przetwarzane, administrator musi zaprzestać ich przetwarzania. To samo dotyczy ustania podstawy przetwarzania. W takich przypadkach powinien on usunąć dane osobowe również z kopii zapasowych.
Wyjątkowo dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów:
Nawet w przypadku takiego dalszego przetwarzania muszą zostać wdrożone odpowiednie środki techniczne i organizacyjne. Takim środkiem może być nadal kopia zapasowa.
W wewnętrznych regulacjach należy położyć nacisk na to, by kopie zapasowe były przechowywane w miejscach zabezpieczających je przed bezprawnym:
Oprócz tego należy przewidzieć ich usuwanie niezwłocznie po ustaniu ich użyteczności.
Ta kwestia zależy od regulacji przyjętych przez samego administratora. Częstotliwość tworzenia kopii zapasowych oraz zakres ich wykonywania powinny odpowiadać charakterowi działalności administratora danych. Należy też uwzględnić potencjalne zagrożenia.
Najlepiej, aby kopie awaryjne były tworzone:
Tej kwestii RODO również nie precyzuje. Dlatego dobrym rozwiązaniem jest jej ujęcie w regulacjach wewnętrznych. Pewne wskazówki będą jednak dotyczyły każdej organizacji. Przede wszystkim kopii zapasowych nie powinno się przechowywać w tych samych pomieszczeniach, w których przechowuje się dane „eksploatowane" na bieżąco. Zaleca się także okresowe sprawdzanie kopii zapasowych. Ma ono na celu sprawdzanie:
Dobrze jest przyjąć plan sprawdzeń uwzględniający skalę przetwarzania danych przez administratora. W planie warto też określić rodzaj nośników, na których kopie są przechowywane.
Pozwoli to kontrolować legalność przetwarzania znajdujących się tam danych osobowych. Dzięki temu administrator będzie mógł na bieżąco weryfikować, czy nadal przetwarza te dane. W procedurze warto uregulować też zasady dostępu do pomieszczeń, w których przechowywane są kopie. W szczególności powinny one zawierać wymóg, by serwisowanie lub naprawy nośników zawierających kopie zapasowe przez osoby spoza personelu administratora były przeprowadzane wyłącznie pod nadzorem osoby upoważnionej przez ADO.
W przypadku wykonywania kopii zapasowej można zastosować regułę 3-2-1. Zgodnie z tą zasadą dane powinny znajdować się w trzech egzemplarzach. Przy czym dwie kopie będą zapasowymi, natomiast jedna z nich znajduje się poza siedzibą organizacji (np. w chmurze).
Przechowywanie danych w chmurze polega na zapisywaniu i zarządzaniu danymi na zdalnych serwerach, które są dostępne przez internet. Zamiast przechowywać pliki na lokalnych dyskach twardych lub serwerach, użytkownicy mogą korzystać z infrastruktury dostarczanej przez dostawców usług chmurowych. Jest to wygodne i efektywne rozwiązanie, które zapewnia dostęp do danych z dowolnego miejsca, elastyczność, skalowalność oraz wysoki poziom bezpieczeństwa i niezawodności.
© Portal Poradyodo.pl
