Procedura tworzenia kopii zapasowych – jak ją przygotować

Anna Jaworska-Kłosowicz

Autor: Piotr Janiszewski

Dodano: 5 czerwca 2017
Dokument archiwalny
Procedura tworzenia kopii zapasowych – jak ją przygotować

Tworzenie kopii zapasowych zbiorów danych osobowych to nie tylko przejaw odpowiedzialności administratora danych, który chce zabezpieczyć się przed utratą danych, ale także obowiązek wynikający z przepisów prawa. Każdy administrator danych, który przetwarza dane osobowe w systemie informatycznym, musi opracować procedury tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania. Dowiedz się jak to zrobić.

Procedura tworzenia kopii zapasowych to obowiązkowy element instrukcji zarządzania systemem informatycznym – dokumentu, który administratorzy danych opracowują i wdrażają zgodnie z rozporządzeniem ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024), zwanego dalej również „rozporządzeniem”.

Tworzenie kopii zapasowych jest czasem mylone z archiwizacją danych. Terminy te często używane są zamiennie w informatycznym żargonie. Jednak w przypadku przetwarzania danych są to całkowicie różne pojęcia. „Backup” polega na stworzeniu kopii bezpieczeństwa zbioru danych osobowych, dzięki której można odtworzyć oryginalne dane, jeśli zostaną uszkodzone lub dojdzie do ich utraty. Skopiowane dane nie są dostępne bezpośrednio dla użytkowników, sięga się po nie tylko w przypadku utraty lub uszkodzenia oryginalnych danych.

Natomiast proces archiwizacji zbiorów danych związany jest ze zmianą celu przetwarzania danych. Najczęściej dzieje się tak w sytuacji, gdy pierwotny cel przetwarzania danych w zbiorze został zrealizowany, jednak przepisy prawa wymagają, aby dane były przechowywane przez administratora jeszcze przez określony czas.

Przykładem archiwizacji zbiorów danych jest przechowywanie dokumentów podatkowych. Zgodnie z ustawą o rachunkowości należy je przechowywać przez 5 lat, licząc od końca roku kalendarzowego, w którym upłynął termin płatności podatku.

Archiwizacja nie polega na kopiowaniu oryginalnych zbiorów danych, tylko na przenoszeniu ich w inne miejsce, przy czym użytkownicy muszą mieć możliwość bezpośredniego dostępu do nich, gdy zajdzie taka potrzeba. Co ciekawe, zarchiwizowane zbiory danych również podlegają procedurze tworzenia kopii bezpieczeństwa.

Zapewnienie integralności zbiorów danych to obowiązek ABI

Zgodnie z przepisami ustawy o ochronie danych osobowych administrator danych musi zabezpieczyć je m.in. przed ich utratą, uszkodzeniem lub zniszczeniem. Cechą danych, która zapewnia im odporność na te zagrożenia, jest ich integralność. Pojęcie to zostało zdefiniowane w rozporządzeniu i rozumie się przez nie właściwość, która zapewnia, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.  Tworzenie kopii zapasowych przez administratorów danych jest ostatnią deską ratunku, aby zachować integralność danych, które w niekontrolowany sposób zniknęły z bieżących zbiorów bądź zostały trwale uszkodzone.

Kopii zapasowych nie należy traktować jako zjawiska o charakterze czysto technicznym. Przestrzeń, w której przechowywane są kopie zapasowe, to element systemu informatycznego służącego do przetwarzania danych osobowych, a dane osobowe na kopiach zapasowych to nic innego jak części odpowiadających im zbiorów danych przetwarzanych przez administratora.

Uwaga

Dane z kopii zapasowych podlegają takim samym regulacjom jak dane osobowe przetwarzane przez administratora na bieżąco.

Trzeba pamiętać o zasadzie ograniczenia czasowego przetwarzania danych. W przypadku przetwarzania danych w kopiach zapasowych jest ona często naruszana. Wynika ona z art. 26 ust. 1 pkt 4 ustawy o ochronie danych osobowych. Zgodnie z nim administrator danych musi zapewnić, aby przetwarzane przez niego dane były przechowywane w postaci umożliwiającej identyfikację osób, których dane dotyczą, nie dłużej niż jest to niezbędne do osiągnięcia celu przetwarzania.

Oznacza to, że w przypadku, gdy zrealizuje się cel, w jakim dane były przetwarzane, albo ustanie podstawa prawna przetwarzania danych i ADO jest zobowiązany zaprzestać ich przetwarzania, powinien usunąć dane osobowe również z kopii zapasowych. W innym razie naraża się na odpowiedzialność w związku z przetwarzaniem danych bez podstawy prawnej.

Z jaką częstotliwością trzeba tworzyć kopie zapasowe

Same przepisy nie mówią zbyt wiele o tym, jak tworzyć kopie zapasowe. Rozporządzenie zobowiązuje jedynie administratora danych do posiadania procedur tworzenia kopii zapasowych oraz określenia sposobu, miejsca i okresu ich przechowywania. Zawiera także wytyczne, by kopie zapasowe przechowywać w miejscach zabezpieczających je przed nieuprawnionym przejęciem, modyfikacją, uszkodzeniem lub zniszczeniem, a także usuwać je niezwłocznie po ustaniu ich użyteczności. Dlatego też przy opracowywaniu procedury tworzenia kopii zapasowych, w głównej mierze należy opierać się na dobrych praktykach w tym zakresie.

Częstotliwość tworzenia kopii zapasowych oraz zakres ich wykonywania powinien odzwierciedlać charakter działalności administratora danych i być odpowiedni do potencjalnych zagrożeń. Zaleca się, aby kopie awaryjne były tworzone codziennie, w dni robocze, po godzinach pracy i w sposób automatyczny.

Ważne:

Kopie awaryjne można podzielić na pełne, w których kopiowane są całe zbiory danych (zwykle taka kopia tworzona jest jako pierwsza) oraz takie, które bazują na danych zmienionych lub dodanych od czasu utworzenia ostatniej kopii zapasowej (kopie różnicowe i przyrostowe).

W tych miejscach nie przechowuj kopii zapasowych

Warto stosować się do zasady nieprzechowywania kopii awaryjnych w tych samych pomieszczeniach, w których przechowywane są zbiory danych eksploatowane na bieżąco. Dobrą praktyką jest także okresowe sprawdzanie kopii zapasowych pod kątem ich przydatności do tworzenia dalszych kopii oraz możliwości przywracania z nich danych. Zatem procedura powinna obejmować plan sprawdzeń uwzględniający skalę przetwarzania danych przez administratora oraz rodzaj nośników, na których kopie są przechowywane.

W procedurze tworzenia kopii zapasowych warto umieścić plan sprawdzeń kopii zapasowych pod kątem legalności przetwarzania znajdujących się tam danych osobowych, aby kontrolować, czy administrator nadal na bieżąco przetwarza te dane. W procedurze warto uregulować też zasady dostępu do pomieszczeń, w których przechowywane są kopie awaryjne. W szczególności powinny one zawierać wymóg, by serwisowanie lub naprawy nośników zawierających kopie zapasowe przez osoby, które nie są pracownikami administratora danych, były realizowane wyłącznie pod nadzorem osoby upoważnionej przez ADO.

 

Podstawa prawna: 
  • ustawa z 29 sierpnia 1997 r. o ochronie danych osobowych (tekst jedn.: Dz.U. z 2016 r. poz. 922),
  • rozporządzenie ministra spraw wewnętrznych i administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych (Dz.U. z 2004 r. nr 100, poz. 1024).
Anna Jaworska-Kłosowicz

Autor: Piotr Janiszewski

radca prawny, prezes zarządu Auraco sp. z o.o. Audytem w obszarze ochrony danych osobowych zajmuje się od lat. Doświadczony Administrator Bezpieczeństwa Informacji i trener. Certyfikowany audytor wewnętrzny według normy ISO 27001. Uczestnik inspekcji oraz postępowań administracyjnych prowadzonych przez GIODO. Autor licznych artykułów i opracowań dotyczących tematyki ochrony danych osobowych. Ekspert w zakresie informacji publicznej i tajemnicy przedsiębiorstwa

Czytelnicy tego artykułu skorzystali również z poniższych narzędzi

Biblioteka ABI

Nasi partnerzy i zdobyte nagrody


© Portal Poradyodo.pl

Sprawdź nasz portal - testuj przez 24h za darmo

Aktualności i porady ekspertów

Listy kontrolne

Wzory dokumentów

Załóż konto na próbę x
wiper-pixel