Kiedy powinniśmy usuwać dane z kopii zapasowych?
Co do zasady obowiązek usuwania konkretnych danych z kopii zapasowych nakłada na nas RODO w następujących przypadkach:
- wygaśnięcie podstawy do przetwarzania danych osobowych konkretnej osoby,
- skorzystanie przez osobę z prawa do bycia zapomnianym (osobną kwestią jest, kiedy takie żądanie należałoby zrealizować).
Można by w tym miejscu zapytać: co w ogóle unijne rozporządzenie ma wspólnego z kopiami zapasowymi? Otóż, z jednej strony RODO w art. 32 nakazuje tworzenie kopii zapasowych, a z drugiej strony przypomina, iż samo przechowywanie danych w kopiach zapasowych jest ich przetwarzaniem, co narzuca kolejne wymogi odnośnie do backupów.
Z tego powodu wszelkie zasady postępowania z danymi osobowymi wynikające z RODO mają zastosowanie do danych osobowych przetwarzanych w kopiach zapasowych.
Wyjaśniamy
Przetwarzanie oznacza dowolną operację lub zestaw operacji wykonywanych na danych osobowych lub na zbiorach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, strukturyzacja, przechowywanie, adaptacja lub zmiana, odzyskiwanie, konsultacja, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dostosowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – art. 4 ust. 2 RODO.
Teoria a praktyka
W praktyce realizacja usuwania danych poszczególnych osób z kopii zapasowych będzie procesem trudnym, skomplikowanym, a czasem nawet niemożliwym. Wiele zależy od tego, ile danych przetwarza organizacja i w ilu systemach, bo przecież dane osobowe mogą być rozproszone w wielu z nich. Jaką technologią tworzone są backupy? Niektóre oprogramowania będą zezwalały na usuwanie poszczególnych rekordów z baz danych, a inne – nie. Trudne do wyobrażenia byłoby kolejne odtwarzanie każdej z kopii zapasowych, a następne usuwanie pojedynczych rekordów i ponowne tworzenie nowej kopii. Niewątpliwie taki zabieg wpływa bezpośrednio na jeden z filarów bezpieczeństwa kopii zapasowych, czyli jej integralność.
Europejskie organy nadzorcze na temat usuwania danych z kopii zapasowych
Duńska agencja ochrony danych osobowych stwierdza, iż w przypadku wystąpienia osoby o prawo do bycia zapomnianym, kiedy administrator nie ma podstawy do przetwarzania danych tej osoby, musi on usunąć jej dane również z kopii zapasowej, o ile jest to technicznie możliwe (np. backup nie jest w żaden sposób skompresowany, a więc usunięcie danych z kopii będzie równie łatwe jak usunięcie z systemu produkcyjnego). w przypadku braku technicznej możliwości usunięcia takich danych z backupu organ radzi przechowywać spis żądanych usunięć, aby w razie konieczności przywrócenia kopii zapasowej wiedzieć, że wspomniane dane należy usunąć. Rejestr żądań powinien być tworzony zgodnie z zasadą minimalizacji danych, tj. nie możemy umieszczać tam danych osobowych, ale powinniśmy podać informację, iż w przypadku odtworzenia konkretny rekord danych należy usunąć.
Brytyjski organ nadzorczy (Information Commissioner's Office) wydał wytyczne stwierdzające, że konieczne jest podjęcie kroków w celu zapewnienia usunięcia danych z kopii bezpieczeństwa. ICO zdaje sobie sprawę, że dane mogą pozostawać w kopiach zapasowych przez pewien czas, aż kopia zapasowa zostanie nadpisana. ICO wskazuje, że minimalnym działaniem, które byłoby w stanie zaakceptować, będzie nieużywanie danych z kopii, nawet jeśli nie można ich natychmiast nadpisać.
Jeszcze bardziej liberalne podejście do usuwania danych z kopii zapasowych ma francuski organ nadzorczy CNIL. Francuzi twierdzą, iż w przypadku wpłynięcia wniosku o usunięcie danych, czy wygaśnięcia podstawy przetwarzania należy przede wszystkim usunąć dane ze środowiska produkcyjnego.
Następnym krokiem będzie poinformowanie zainteresowanych osób o usunięciu danych ze środowiska produkcyjnego, a dane znajdujące się w kopiach zapasowych znikną razem z wygaśnięciem i nadpisaniem kopii zapasowych, przy czym jesteśmy zobligowani do podania daty usunięcia backupów. Zdaniem CNIL kopie zapasowe służą przede wszystkim do przywrócenia danych. Francuski organ nadzorczy zaznacza jednak, iż należy zapewnić alternatywne rozwiązanie, które zapewni, iż w przypadku przywrócenia kopii zapasowych dane osoby, która chce skorzystać z prawa do bycia zapomnianą, nie zostaną przywrócone.
Ministerstwo Cyfryzacji o kopiach zapasowych
Ministerstwo Cyfryzacji w poradniku RODO dla sektora FINTECH musiało zmierzyć się z pytaniem: „Kiedy powstaje obowiązek usunięcia danych osobowych z kopii zapasowych systemów informatycznych?” Resort stwierdza, iż backupy stanowią techniczny sposób zabezpieczenia danych, co do których administrator ma podstawę przetwarzania. W przypadku jej ustania należy te dane usunąć albo zanonimizować, aczkolwiek należy wziąć pod uwagę ograniczenia płynące z możliwości technologicznych oraz ryzyka wiążącego się z naruszeniem praw i wolności pozostałych osób, których dane dotyczą. Stąd według Ministerstwa akceptowalne będzie usuwanie danych z kopii zapasowej wraz z całą kopią, po ustaniu jej przydatności. Do tego czasu należy ograniczyć przetwarzanie danych w kopii zapasowej do przechowywania, oczywiście wraz z wyjątkami użycia kopii zapasowej zgodnie z jej przeznaczeniem.
Ministerstwo Cyfryzacji:
„Jednocześnie, z uwagi na konieczność zapewnienia integralności kopii zapasowej, dane osobowe w niej utrwalone nie muszą być kasowane w sposób selektywny, np. na żądanie osoby, której dane dotyczą.”
Ministerstwo stawia tutaj warunek, aby kopie zapasowe były odpowiednio zabezpieczone oraz aby ograniczyć ryzyko niepożądanego dostępu. Ponadto należy określić czas przechowywania kopii zapasowych, tak aby były one zgodne ze standardami technologicznymi oraz branżowymi.
Ministerstwo Cyfryzacji:
W przypadku kopii zapasowych i żądania usunięcia danych na podstawie art. 17 RODO może realnie zdarzyć się, że nie będzie technicznie możliwe usunięcie danych zawartych w kopii zapasowej lub koszty i wysiłek organizacyjny takiego selektywnego usunięcia danych będą zbyt duże w stosunku do ryzyka naruszenia praw i wolności podmiotu danych. Ponadto selektywne usunięcie danych osobowych z kopii narusza integralność kopii danych, a zatem może powodować ryzyko dla praw i wolności innych osób, których dane są przechowywane w ramach tej samej kopii danych.
Jak długo trzymać kopie?
Zadajmy sobie pytanie, jak długo powinniśmy przechowywać dane osobowe w naszych bazach, a przy tym jak długo powinniśmy trzymać kopie zapasowe. Oczywiście, określając czas przechowywania zbiorów kopii zapasowych należy wziąć pod uwagę wymogi biznesowe, jak i zakres danych oraz z jakiego okresu będą one nam potrzebne na wypadek awarii. Innym czynnikiem wpływającym na czas przechowywania backupów jest zasadność przetwarzania znajdujących się tam danych.
Przykład
Firma XYZ przetwarza dane osobowe na podstawie zgody. Kopie zapasowe są tworzone w cyklach dziennych oraz miesięcznych. Kopia dzienna magazynowana jest przez 10 dni, po czym jest nadpisywana, natomiast kopie miesięczne nadpisywane są dopiero po roku.
Do firmy wpływa wniosek od jednej z osób, której dane dotyczą, żądającej, aby administrator usunął wszystkie dane, które posiada o tej osobie. Administrator usuwa wszystkie dane z systemów produkcyjnych, jednakże pojawia się problem z danymi w kopiach zapasowych.
O ile problem z danymi osobowymi przechowywanymi w kopiach dziennych znika po 10 dniach, o tyle dane nadal pozostają w kopiach miesięcznych. Pojawiają się nam dane niechciane, które nadal przetwarzamy, choć nie powinniśmy, a z kolei ich usunięcie nie jest takie oczywiste.
Integralność
Teoretycznie istnieje możliwość odtwarzania każdej kopii, a następnie usuwania pojedynczych danych i ponownej kompresji, aczkolwiek często będzie to proces trudny, czasochłonny, a niekiedy kosztowny. Usuwanie rekordów z kopii zapasowych jest zabiegiem naruszającym ich integralność. Duński organ nadzorczy przypomina, iż podstawowym celem tworzenia kopii zapasowych jest możliwość odzyskania danych w przypadku ich utraty w działającym systemie.
Pozbawienie kopii zapasowej przymiotu integralności może godzić w bezpieczeństwo innych danych w kopii. Rodzi to pytanie, czy realizacja prawa jednej osoby może odbyć się kosztem praw innych osób? Backupy mogą również posłużyć jako dowody, że na przykład ktoś modyfikuje dane w systemach produkcyjnych. Jednak wszelkie próby używania kopii zapasowych jako dowodów mogą być uznane za bezzasadne w przypadku braku ich integralności.
Jak zmniejszyć ryzyko?
Bez wątpienia mogą nas spotkać różne scenariusze; często może się okazać, iż koszt i wysiłek, jaki będziemy musieli włożyć w usunięcie danych konkretnej osoby okaże się nierozsądny i nieracjonalny. Jednak istnieje różnica między samym stwierdzeniem, iż konkretny proces jest nieracjonalny, a udowodnieniem tego. W celu zmniejszenia tego ryzyka:
- przeprowadźmy analizę ryzyka, a także analizę wpływu na biznes;
- uporządkujmy wewnętrzne regulacje, procedury i polityki, w tym wypadku zadbajmy o procedurę tworzenia, odtwarzania oraz usuwania kopii zapasowych. W przypadku, kiedy nie określimy jasno co robić, a czego nie robić, może się zdarzyć, iż nie będziemy w stanie obronić naszej pracy;
- zadbajmy o edukację naszych pracowników; warto, aby znali swoje obowiązki w zakresie ochrony danych osobowych;
- zmapujmy wszystkie nasze procesy biznesowe oraz wszystkie zasoby danych. Ważne jest, aby wiedzieć, jak i gdzie dane są przetwarzane;
- zadbajmy, aby przetwarzanie danych w systemach produkcyjnych było zgodne z prawem. Określmy ramy czasowe, w których zamierzamy przetwarzać dane, również w kopiach zapasowych; nie trzymajmy backupów dłużej niż jest to konieczne. Jeśli procesy przechowywania danych nie mają solidnych zasad usuwania starych danych, nie będzie to dobrze wyglądać;
- wdróżmy plan usuwania danych. Nie ma sensu próbować wyjaśniać, dlaczego nie możemy czegoś usunąć, jeśli nigdy nie planujemy tego zrobić;
- w przypadku przechowywania w kopiach zapasowych danych osób, których nie powinniśmy przechowywać, poinformujmy te osoby, dlaczego ich dane tam się znajdują;
- zadbajmy o bezpieczeństwo tych kopii, aby były szyfrowane silną i aktualną techniką, ograniczmy dostępy do nich, a także zadbajmy o przechowywanie ich w bezpiecznym miejscu;
- zaangażujmy najwyższe kierownictwo w akceptację i kontrolę ryzyk.