GDPR.pl – ochrona danych osobowych w UE, RODO, IOD

Dane niechciane, a kopie zapasowe danych (backup danych)

Dane niechciane, a kopie zapasowe danych (backup danych)

Żartobliwie w środowisku specjalistów IT mówi się, że użytkowników dzielimy na dwie główne grupy – tych, którzy robią kopie zapasowe danych oraz tych, którzy jeszcze nie robią kopii zapasowych danych. Czym w ogóle jest kopia zapasowa każdy prawdopodobnie w pewnym stopniu rozumie, jednak czy na pewno?

Kopie – czego i po co

Kopia zapasowa danych, w uproszczeniu, to wierne odwzorowanie stanu danych, które chcemy zachować, odłożona w innym miejscu niż normalnie te dane przechowujemy. Oznacza to, że posiadając system korzystający z bazy danych, wykonując kopię tych danych będziemy w stanie odtworzyć stan systemu na dzień wykonania tej kopii. Kopia zapasowa, w zależności od przyjętej polityki w organizacji, najczęściej wykonywana jest w cyklach dziennych, tygodniowych, miesięcznych czy też rocznych. Do czego służy? Między innymi do wypełnienia spoczywających na nas obowiązków zapewnienia dostępności danych osobowych. W przypadku awarii systemu, w którym przetwarzamy dane osobowe, nie posiadając kopii zapasowych trwale utracimy pewne informacje, co z punktu widzenia przepisów dotyczących ochrony danych osobowych jest nieakceptowalne.

Kopia a archiwum

Kopia zapasowa danych nie jest tym samym co archiwum danych i jako archiwum nigdy nie powinna być wykorzystywana. Często zdarza się, że traktujemy kopię zapasową jako miejsce, do którego możemy sięgnąć w celu uzyskania poszukiwanych archiwalnych danych, informacji z przeszłości, które uznajemy za potrzebne. Zdecydowanie jest to błędne podejście, gdyż do takich celów powinniśmy wykorzystywać właśnie archiwa danych. Kopia zapasowa to stan danych na dzień jej wykonania i służy tylko w celu zapobiegania utracie danych i zapewnienia ciągłości działania. Backup powinien posiadać swoją „datę przydatności do spożycia” tzn. dla każdej kopii powinien być określony okres retencji, a po upływie tego czasu kopia powinna być trwale niszczona. Dane w organizacji żyją, zmieniają się, dlatego kopie zapasowe po pewnym czasie stają się bezużyteczne. Czy jednorazowe wykonanie kopii danych produkcyjnych przedsiębiorstwa zatrudniającego powiedzmy 100 osób, niezależnie od tego jakie dane to przedsiębiorstwo przetwarza, jest wystarczające aby zabezpieczyć tę organizację przed utratą danych przez kolejne pięć lat? Zdecydowanie nie, często bywa, że już po miesiącu kopia danych staje się bezużyteczna, ze względu na okres retencji przetwarzanych danych. I tu dochodzimy do sedna, czyli danych niechcianych w kopiach zapasowych.

Dane niechciane

Dane niechciane co do zasady są to dane, które organizacja powinna usunąć (nie powinna ich przetwarzać np. z powodu wygaśnięcia celu lub podstawy przetwarzania tych danych) lecz nie bardzo może/jest w stanie. Właśnie w przypadku kopii zapasowych danych możemy zaobserwować zjawisko występowania tzw. danych niechcianych.

Przykład:

Organizacja A przetwarza dane osobowe K w systemie X, których okres retencji określony został jako dwa lata. Organizacja A wykonuje kopie zapasowe systemu K w cyklach dziennych oraz miesięcznych. Okres przechowania kopii dziennej to trzy dni, natomiast okres przechowania kopii miesięcznej to sześć miesięcy. Do organizacji A wpływa wniosek od osoby, której dane są przetwarzane, o usunięcie jej danych osobowych. Organizacja A nie posiada innej podstawy prawnej do przetwarzania danych i zobowiązana jest usunąć dane tej osoby ze swojego systemu, co też niezwłocznie czyni i usuwa jej dane z systemu produkcyjnego.

W powyższym przykładzie realizujemy prawo osoby, której dane dotyczą w zakresie usunięcia jej danych osobowych z bazy danych naszego systemu, lecz pozostaje jeszcze kwestia kopii zapasowej. Kopie wykonywane w powyższym przykładzie w cyklach dziennych nadpiszą się po trzech dniach, oznacza to, że w ciągu trzech dni od dnia usunięcia danych z systemu produkcyjnego dane wnioskodawcy znikną również z kopii dziennych, lecz co z kopiami miesięcznymi? Organizacja A spotyka się w takim przypadku ze zjawiskiem powstania tzw. danych niechcianych – czyli danych, których nie chcą (i w tym przypadku nie mogą) przetwarzać, lecz w celu zachowania bezpieczeństwa danych muszą przechowywać je jeszcze przez sześć miesięcy. Biorąc pod uwagę stan wiedzy technicznej, niemożliwym jest usunięcie rekordu z bazy danych zawartej w kopii zapasowej bez naruszenia integralności kopii zapasowej. Administrator danych musi uwzględnić bezpieczeństwo wszystkich danych w organizacji oraz interes innych osób, których dane przetwarza i powinien powstrzymać się od ingerowania w integralność kopii zapasowej w celu realizacji prawa jednej osoby.

Retencja

Na bazie powyższego przykładu można wyciągnąć jednak pewne wnioski. Administrator musi dołożyć wszelkich starań, aby właściwie określić okresy retencji zarówno danych osobowych, które przetwarza jak i kopii zapasowych tych danych. Jeżeli ADO posiada w swoim systemie dane, których okres retencji wynosiłby jeden miesiąc, po czym przechowywałby je w kopii zapasowej przez kolejny rok, to można uznać, że przechowuje te dane bezzasadnie.

Do problemu usuwania danych z kopii zapasowych odniosło się również Ministerstwo Cyfryzacji w  „RODO poradniku dla sektora fintech”. Ministerstwo Cyfryzacji w powyższym poradniku uznało, iż „…akceptowalnym rozwiązaniem jest, aby dane osobowe były kasowane tylko razem z całą kopią zapasową, po ustaniu podstaw przetwarzania wszystkich zawartych w niej danych osobowych lub po ustaniu przydatności kopii zapasowej…” oznacza to, że odpowiednim modelem postępowania będzie stworzenie procedury postępowania, w której określone zostaną możliwe sytuacje, w których może dojść do powstania w organizacji danych niechcianych w kopii zapasowej, oraz uwzględnienie takich sytuacji w odrębnym rejestrze (np. rejestrze wniosków o usunięcie danych). Następnie należy pozostawić kopie zapasowe (oczywiście po prawidłowym ustaleniu okresu retencji danych i użyteczności kopii) swojemu biegowi i pozwolić im na funkcjonowanie w ich naturalnym cyklu. W przypadku zaistnienia konieczności odtworzenia danych z kopii zapasowej, organizacja posiada odrębny rejestr prowadzony przez siebie, w którym może odnaleźć informację na temat tego jakie dane stały się niechcianymi w ramach przywracanej wersji systemu i dzięki temu będzie w stanie w sposób skuteczny usunąć je z przywracanej wersji systemu.