Backup - kopia bezpieczeństwa, RODO

RODO a tworzenie kopii zapasowych

Czas czytania: 3 min

Niebawem wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Tak brzmi pełna nazwa RODO, uchylającego dyrektywę o ochronie danych osobowych, obowiązującą od 1995 roku. RODO ujednolica system ochrony danych osobowych w całej Unii Europejskiej.

Kogo obejmie?

Przepisy RODO dotyczą wszystkich przedsiębiorstw. Natomiast nie będzie mieć zastosowania do przetwarzania danych przez osoby fizyczne, działające prywatnie (nie w ramach działalności gospodarczej). RODO, oprócz funkcjonowania na terytorium UE, wymusza jego stosowanie wobec obywateli krajów członkowskich także na podmiotach mieszczących się poza Unią.

Jak postrzegany jest backup przez RODO?

Przepisy RODO nie odnoszą się osobno do przechowywania danych osobowych i do backupu. Traktują na równi zapis źródłowy tych danych i ich kopię, bowiem wymagania ochronne dla backupu są dokładnie takie same, jak dla zapisu źródłowego. Zatem, według RODO, backup jest formą przechowywania danych, a w przypadku uszkodzenia lub utraty pliku źródłowego automatycznie przyjmuje jego status.

Jakie są podstawowe zasady backupu według RODO?

  •  Dostępność danych. Musi być ona łatwa i szybka, co wiąże się z koniecznością doboru komputera o odpowiedniej mocy i właściwego systemu informatycznego. Dane powinny być także dostępne z każdego poziomu pracy. 
  • Autentyczność. Przetwarzane dane muszą realnie i w pełni przedstawiać sytuację osoby, której dotyczą. Backup powinien zachować autentyczność danych, będących w posiadaniu administratora; w przeciwnym wypadku zasady RODO zostaną naruszone.
  • Integralność danych osobowych. Oznacza to, że przechowywane są w takiej postaci, w jakiej mają być przeznaczone do wykorzystania, czyli metody ich kopiowania muszą gwarantować identyczność backupu z zawartością pliku źródłowego, bez dezintegracji zarówno podczas wykonywania kopii, jak i przesyłania oraz zapisywania danych.
  • Poufność, czyli zabezpieczenie danych przed dostępem osób niepowołanych, zarówno plików źródłowych, jak i backupów. Należy podkreślić, że środki ostrożności wobec pliku źródłowego i wobec backupu są na ogół odmienne. Otóż, wiele kopii danych osobowych przechowywanych jest w tabletach, smartfonach, itp. urządzeniach mobilnych. Wszystko to są backupy, choćby nawet były częściowe. Z urządzenia mobilnego można skorzystać także bez wiedzy właściciela lub wręcz wbrew jego woli, można więc skopiować poufne dane.  Dlatego tak ważne jest zabezpieczanie wszystkich urządzeń mobilnych.

Formalny zapis zawiera siedem zasad przetwarzania danych osobowych:

1. Zasada zgodności z prawem, rzetelności i przejrzystości – art. 5 ust. 1 a) 

2. Zasada ograniczenia celu przetwarzania danych – art. 5 ust. 1 b) 

3. Zasada minimalizacji danych – art. 5 ust. 1 c) 

4. Zasada prawidłowości danych – art. 5 ust. 1 d) 

5. Zasada ograniczenia przechowania danych – art. 5 ust. e) 

6. Zasada integralności i poufności danych – art. 5 ust.1 f) 

7. Zasada rozliczalności – obowiązek wykazania przez administratora, że wszelkie operacje na danych osobowych, jakich dokonuje, są zgodne z powyższymi zasadami. 

Czym są dane osobowe według RODO?

Danymi osobowymi nazywamy informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W kwestii definicji RODO zasadniczo niczego nie zmienia. Natomiast zmianom ulega sposób postępowania z tymi danymi, a zwłaszcza ich przetwarzanie i zabezpieczanie.

Jakie znaczenie ma RODO dla e-Commerce?

Handel internetowy będzie pierwszym obszarem, gdzie nastąpi praktyczna weryfikacja RODO. Sklepy działające w sieci będą musiały poinformować klientów o zmianie przepisów o ochronie danych osobowych i czynić to tak, aby nie czuli się oni zagrożeni. Branża e-Commerce, jako znajdująca się najbliżej najnowszych technologii, będzie dobrym „poligonem doświadczalnym” dla funkcjonowania RODO.

 Jak będzie prowadzona archiwizacja i usuwanie danych?

RODO wymaga wprowadzenia w systemach informatycznych automatyzacji usuwania danych identyfikacyjnych. Istnieją jednak obszary, gdzie np. dla celów bezpieczeństwa lub dowodowych dane należy archiwizować, ale nie wolno ich usuwać. Obecnie, aby usunąć jeden rekord, należy go odtworzyć, skasować i ponownie zarchiwizować bazę. Dlatego informatycy stoją wobec ogromnych wyzwań, bowiem automatyzacja tej operacji wymaga istotnej przebudowy systemów.

Autor: Konrad Bielawski, DATA Lab





Dodaj komentarz