Strona korzysta z plików cookies w celu realizacji usług i zgodnie z Polityką Plików Cookies.

Aktualne wydanie

Polecamy

Bezpieczeństwo danych osobowych. Praktyczny przewodnik

Bezpieczeństwo danych osobowych. Praktyczny przewodnik
 

Katarzyna Ułasiuk, Michał Sztąberek

Cena: 148,00 zł

Zamów

Polecamy

Realizacja praw osób, których dane dotyczą, na podstawie rodo

Realizacja praw osób, których dane dotyczą, na podstawie rodo
 

Marlena Sakowska-Baryła, Bogdan Fischer

Cena: 128,00 zł

Zamów

Backup a rodo

26-02-2018 Autor: Rafał Kania
Miejsce przechowywania...

Rodo znacznie poszerza prawa osób, których dane są przetwarzane. Ma to istotny wpływ nie tylko na funkcjonowanie podstawowych systemów informatycznych danych osobowych. Wydaje się nawet, że większe znaczenie (i zakres oddziaływania) może mieć dla systemu kopii zapasowych (ang. backup).

 

Zarówno backup (w artykule tak będziemy nazywać system kopii zapasowych), jak i ochrona danych osobowych są znakiem naszych informatycznych czasów. Backup, jako odrębnie zorganizowane rozwiązanie techniczne, dostępne dla ogółu użytkowników, jest w zasadzie rówieśnikiem idei ochrony danych osobowych na poziomie europejskim. Przełomowe rozwiązania w obu tych dziedzinach pochodzą bowiem z pierwszej połowy lat 90.

Trochę statystyki

Przeanalizowano słowa w tekstach prawnych związanych z ochroną danych osobowych, które są najmocniej funkcjonalnie powiązane z backupem. Przeanalizowano również rodo, uodo i rozporządzenie do uodo (w tabeli jako RdoUODO), które ciągle jeszcze reguluje kwestie dokumentacyjno-techniczne ochrony danych osobowych (patrz: tabela).

Analiza wskazuje, że w rodo słów powiązanych z backupem jest dużo więcej niż w uodo, czasami nawet wielokrotnie więcej. Wynika to nie tylko z tego, że rodo jest aktem prawnym pięciokrotnie dłuższym od uodo.

Czy backup jest w rodo?

Przeprowadzona analiza językowa nie wyłącza możliwości postawienia podstawowego pytania: czy z punktu widzenia prawnego, backup jest w ogóle rozpoznany przez regulacje rodo? I na tak postawione pytanie trzeba odpowiedzieć przecząco.

Co daje podstawę do powyższego stwierdzenia? Backup nie jest pojęciem odrębnie traktowanym w zakresie ochrony danych osobowych w rodo. Ustawodawca europejski nie czyni zatem specjalnej różnicy między zwykłym (to jest bieżącym, czy jak mówią informatycy – produkcyjnym) przechowywaniem danych osobowych a ich backupem. Wiedzie to do stwierdzenia, że kopia jest tylko formą przechowywania danych. Niczym więcej. Wymagania ochronne ustanowione dla kopii, zawierających dane osobowe, są dokładnie takie same jak dla pierwszego, źródłowego zapisu danych osobowych w podstawowym systemie informatycznym. W gruncie rzeczy kopia jest więc w perspektywie rodo miejscem przechowywania danych osobowych i nie powinna być traktowana inaczej niż pierwsze miejsca przechowywania danych (patrz: schemat).

W tym przekonaniu utwierdza także spostrzeżenie, że jeśli pierwotne źródło przechowywania danych osobowych ulegnie niezamierzonej modyfikacji albo utracie, to backup staje się pełnoprawnym, a nie tylko zapasowym, źródłem identyfikacji i przechowywania danych osobowych.

Podstawowe zasady dla backupu

Podstawowe postulaty rodo w odniesieniu między innymi do przechowywania danych osobowych da się streścić w czterech słowach: dostępność, autentyczność, integralność i poufność (motyw 49). Przyjrzyjmy się, co oznaczają one po przyłożeniu ich do backupu.

Backup powinien zapewniać pełną dostępność danych. Dostępność do danych z backupu powinna być przy tym odpowiednio łatwa (właściwa indeksacja danych) i szybka (wynikająca z odpowiedniej wydajności maszyn cyfrowych). Ważna jest tutaj możliwość dostępu i na poziomie fizycznym, i na poziomie systemu komputerowego. Dla zobrazowania: jeśli przyjrzymy się fizycznym narzędziom do odczytu danych sprzed ćwierćwiecza, to w dużej mierze były one istotnie różne od tych stosowanych dzisiaj. W powszechnym użyciu były bowiem dyski magnetyczne i taśmy magnetyczne. Istniały także różne od współczesnych narzędzia softwarowe do odczytu danych z backupu (zarówno z poziomu systemu operacyjnego, jak i programu, w którym dokonywano bezpośrednich operacji na danych). Istnieje poważne ryzyko, że dzisiaj tych danych nie da się odtworzyć. Postęp technologiczny sprawia zatem, że czasem nawet po upływie nieznacznych okresów dostęp do zapisanych danych może być niemożliwy.

Autentyczność danych osobowych zakłada, że dane osobowe, które są przetwarzane w systemie informatycznym, w pełni odwzorowują sytuację osoby, której dotyczą.

Wymogiem stawianym backupowi jest zapewnienie, by zachował on pełną autentyczność danych osobowych posiadanych przez administratora. Jeśli bowiem backup nie będzie uwzględniał zmian w pierwotnym miejscu przechowywania danych, dojdzie do naruszenia zasad rodo.

Integralność danych osobowych zakłada, że są one zupełne. Oznacza to, że są przechowywane w takiej postaci, w jakiej zamierzał mieć je dla realizacji swych celów administrator danych osobowych. W kontekście backupu ważne jest, by techniki kopiowania danych zapewniały pełne odwzorowanie danych ze źródła pierwotnego. I by żadne elementy nie uległy dezintegracji w czasie przesyłania do wtórnego miejsca przechowywania danych, jak i podczas ich zapisywania.

Poufność oznacza zabezpieczenie danych osobowych przed dostępem osób nieuprawnionych. To samo dotyczy backupów. Przy czym jest oczywiste, że w odniesieniu do backupów środki zapewnienia poufności zazwyczaj są różne od tych, które stosuje się w pierwotnym miejscu przechowywania danych. Trzeba pamiętać, że kopie wielu danych osobowych przechowuje się na urządzeniach mobilnych. Każde z nich stanowi backup, nawet jeśli ma on tylko charakter częściowy. Dane te mogą być multiplikowane czasami wbrew woli osób, które posługują się urządzeniami mobilnymi. Dotyczy to na przykład książek telefonicznych kopiowanych z telefonów komórkowych do pamięci samochodów. Osoby, które kopiują książki telefoniczne, nie mają zazwyczaj świadomości, że pełny dostęp do ich danych ma mechanik w punkcie serwisowania auta.

 

[...]

Autor jest radcą prawnym i wspólnikiem w kancelarii Partner Sendero Kania, Lubaszka, Michalski i Wspólnicy sp.k.

 


Pełna treść artykułu jest dostępna w papierowym wydaniu pisma.

Zapraszamy do składania zamówień na prenumeratę.


 

« Powrót

_____________________________________________________________________________________________________________________________________

Informacje o cookies © 2017 PRESSCOM Sp. z o.o.