Jak uregulować tworzenie kopii zapasowych danych osobowych w organizacji

RODO nie przewiduje wprost obowiązku tworzenia kopii zapasowych. Nie oznacza to, że w określonych sytuacjach stosowanie takich kopii nie jest zasadne. Zadaniem każdego administratora jest wszak stosowanie środków bezpieczeństwa adekwatnych do poziomu ryzyka. Jednocześnie przez cały okres przechowywania danych osobowych każdy administrator musi zapewnić ochronę przed:

• niedozwolonym lub niezgodnym z prawem przetwarzaniem,
• przypadkową utratą, zniszczeniem lub uszkodzeniem (art. 5 RODO).

Cechą danych, która zapewnia im odporność na te zagrożenia, jest ich integralność. Ma ona zapewnić, że dane osobowe nie zostały zmienione lub zniszczone w sposób nieautoryzowany.

Oprócz tego każda osoba, której dotyczą dane osobowe przetwarzane w organizacji, ma prawo dostępu do tych danych (art. 15 RODO). Każda utrata tych danych oznacza zaś niemożność zapewnienia realizacji uprawnienia podmiotów danych.

Odpowiednio zabezpieczone i przechowywane kopie zapasowe zapewniają stały dostęp do danych przetwarzanych przez administratora.

Kopii zapasowych nie należy traktować jako zjawiska o charakterze czysto technicznym. Przestrzeń, w której przechowywane są kopie zapasowe, to element systemu informatycznego służącego do przetwarzania danych osobowych. Natomiast dane osobowe na kopiach zapasowych to nic innego jak ich odpowiedniki. Dlatego przechowywanie danych w kopii zapasowej to przetwarzanie, które podlega w pełnym zakresie RODO.

Tworzenie kopii zapasowych bywa mylone z archiwizacją danych. Tymczasem nie są to synonimy.

Kopie zapasowe w praktyce można podzielić na:

• pełne, w których kopiowane są dane w całym zakresie (zwykle taka kopia tworzona jest jako pierwsza)
• takie, które bazują na danych zmienionych lub dodanych od czasu utworzenia ostatniej kopii zapasowej (kopie różnicowe i przyrostowe).

Warto zatem opracować procedurę stosowania kopii zapasowych. Może być to odrębna procedura, ale także element szerszej polityki bezpieczeństwa. Przed wejściem w życie RODO taki dokument podlegał rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych. Aktualnie rozporządzenie to już nie obowiązuje. Z drugiej strony można wyciągnąć z niego pewne wnioski. Na tej podstawie można określić w przyjętych regulacjach:

• tryb tworzenia kopii zapasowych,
• urządzenia i oprogramowanie służące do ich przetwarzania,
• sposób, miejsce i czas ich przechowywania.

Także w przypadku danych osobowych przechowywanych w kopiach zapasowych obowiązuje reguła ograniczenia przechowywania. Tym samym dane w kopiach zapasowych mogą być przechowywane nie dłużej, niż jest to niezbędne do celów ich przetwarzania.

Wyjątkowo dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów:

• archiwalnych w interesie publicznym,
• badań naukowych lub historycznych, lub
• statystycznych.

Nawet w przypadku takiego dalszego przetwarzania muszą zostać wdrożone odpowiednie środki techniczne i organizacyjne. Takim środkiem może być nadal kopia zapasowa.

W wewnętrznych regulacjach należy położyć nacisk na to, by kopie zapasowe były przechowywane w miejscach zabezpieczających je przed bezprawnym:

• przejęciem,
• modyfikacją,
• uszkodzeniem,
• zniszczeniem.

Oprócz tego należy przewidzieć ich usuwanie niezwłocznie po ustaniu ich użyteczności.

Ta kwestia zależy od regulacji przyjętych przez samego administratora. Częstotliwość tworzenia kopii zapasowych oraz zakres ich wykonywania powinny odpowiadać charakterowi działalności administratora danych. Należy też uwzględnić potencjalne zagrożenia.

Tej kwestii RODO również nie precyzuje. Dlatego dobrym rozwiązaniem jest jej ujęcie w regulacjach wewnętrznych. Pewne wskazówki będą jednak dotyczyły każdej organizacji. Przede wszystkim kopii zapasowych nie powinno się przechowywać w tych samych pomieszczeniach, w których przechowuje się dane „eksploatowane" na bieżąco. Zaleca się także okresowe sprawdzanie kopii zapasowych. Ma ono na celu sprawdzanie:

• ich przydatności do tworzenia dalszych kopii,
• możliwości przywracania z nich danych.

Pozwoli to kontrolować legalność przetwarzania znajdujących się tam danych osobowych. Dzięki temu administrator będzie mógł na bieżąco weryfikować, czy nadal przetwarza te dane. W procedurze warto uregulować też zasady dostępu do pomieszczeń, w których przechowywane są kopie. W szczególności powinny one zawierać wymóg, by serwisowanie lub naprawy nośników zawierających kopie zapasowe przez osoby spoza personelu administratora były przeprowadzane wyłącznie pod nadzorem osoby upoważnionej przez ADO.