Kopie zapasowe a wymogi RODO
Nie wiesz, czy nowe przepisy o ochronie danych osobowych wymagają abyś wykonywał kopie zapasowe gromadzonych plików? Zastanawiasz się, jakie zasady odnoszą się do tego typu kopii? A może chciałbyś powierzyć tworzenie i przechowywanie kopii zapasowych zewnętrznej firmie zgodnie z nowymi przepisami? W artykule znajdziesz informacje na temat:
- przydatności tworzenia kopii zapasowych na gruncie RODO,
- warunków, jakie powinny spełniać kopie zapasowe,
- przesłanek zlecenia wykonywania kopii zapasowych podmiotom trzecim,
- czy o powierzeniu tworzenia kopii zapasowych osobie trzeciej musisz informować osobę, której dane dotyczą.
Na wstępie należy wskazać, że jednym z podstawowych warunków zapewnienia bezpieczeństwa przetwarzania danych osobowych wymaganych przez RODO, jest zdolność systemu do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Jednym z najprostszych sposobów wypełnienia tego obowiązku jest natomiast tworzenie kopii zapasowych przetwarzanych danych osobowych (tzw. backup).
Decydując się na wprowadzenie tego typu procesu, musisz pamiętać, że do kopii zapasowych znajdują zastosowanie wszystkie zasady przetwarzania danych osobowych wprowadzone przez RODO. Kopia zapasowa jest bowiem niczym innym, jak formą przechowywania informacji. Przechowywanie zaś jest postacią przetwarzania danych osobowych. Stąd też twoim obowiązkiem będzie zapewnienie, aby dane osobowe w kopiach zapasowych:
- pozyskane były zgodnie z prawem,
- przechowywane jedynie na potrzeby celu przetwarzania oraz wyłącznie w okresie, w którym ów cel istnieje – jeżeli cel przetwarzania wygasł i nie dysponujesz inną przesłanką legalnego przetwarzania danych osobowych, to powinieneś je usunąć, w tym również kopie zapasowe tychże danych,
- możesz przechowywać jedynie dane osobowe konieczne do realizacji celów, w których je zgromadziłeś,
- w przypadku zaktualizowania plików z danymi osobowymi powinieneś zaktualizować również jego kopie zapasową,
- kopie zapasowe muszą być przechowywane w formie tożsamej z ich źródłem oraz w sposób umożliwiający ich natychmiastowe wykorzystanie w celu przywrócenia dostępności do zapisanych w nich danych osobowych,
- poufność przetwarzanych przez ciebie informacji odnosi się nie tylko do plików źródłowych ale także kopii zapasowych,
- do kopii zapasowych powinieneś stosować adekwatne środki bezpieczeństwa, przykładowo szyfrowanie dysków, na których są one zapisywane, zainstalowanie odpowiedniego oprogramowania antywirusowego oraz zapór internetowych. Pamiętaj również o odpowiednim zabezpieczeniu urządzeń mobilnych (np. smartfonów, tabletów, laptopów), jeżeli uruchomiłeś na nich funkcjonalność tworzenia kopii zapasowych.
A co jeżeli chciałbyś zlecić wykonywanie oraz przechowywanie kopii zapasowych profesjonalnej firmie? Rzecz jasna jest to możliwe, musisz jednakże pamiętać o zawarciu z tą firmą odpowiedniej umowy. Mianowicie, z uwagi na fakt, że kopiowanie oraz przechowywanie danych osobowych stanowi ich przetwarzanie, konieczne jest powierzenie przetwarzania firmie wykonującej backup. W umowie takiej powinieneś wskazać, jakie dane osobowe, jakich kategorii osób oraz w jakim celu powierzasz. Pamiętaj również o tym, aby podmiot któremu powierzasz dane osobowe do przetwarzania zobowiązał się do stosowania wymogów RODO, w tym w szczególności w zakresie zapewnienia bezpieczeństwa danych osobowych.
O zewnętrznym tworzeniu kopii zapasowych ww. danych nie musisz informować osób, których dane osobowe są w ten sposób przetwarzane. Wynika to z faktu, że względem tychże osób ponosisz solidarną odpowiedzialność za bezpieczeństwo danych z podmiotem, któremu powierzyłeś dane osobowe.