Usuwanie danych z kopii zapasowych: kiedy i w jakich sytuacjach?

Kiedy powinniśmy usuwać dane z kopii zapasowych

Co do zasady obowiązek usuwania konkretnych danych z kopii zapasowych wynika z RODO. Pojawia się on w następujących przypadkach:

• gdy wygasa podstawa prawna przetwarzania danych osobowych konkretnej osoby,
• gdy osoba, której dane dotyczą, korzysta z prawa do bycia zapomnianym (przy czym osobną kwestią pozostaje, kiedy takie żądanie należałoby zrealizować).

Można w tym miejscu zapytać: co w ogóle unijne rozporządzenie ma wspólnego z kopiami zapasowymi? Otóż z jednej strony RODO w art. 32 nakazuje tworzenie kopii zapasowych, a z drugiej strony – przypomina, że samo przechowywanie danych w kopiach zapasowych jest ich przetwarzaniem, co narzuca kolejne wymogi odnośnie do backupów.

Z tego powodu wszelkie zasady postępowania z danymi osobowymi wynikające z RODO mają zastosowanie do danych osobowych przetwarzanych w kopiach zapasowych.

Wyjaśniamy
Przetwarzanie oznacza dowolną operację lub zestaw operacji wykonywanych na danych osobowych lub na zbiorach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, strukturyzacja, przechowywanie, adaptacja lub zmiana, odzyskiwanie, konsultacja, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dostosowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie – art. 4 ust. 2 RODO.

Teoria a praktyka

W praktyce usuwanie danych poszczególnych osób z kopii zapasowych będzie procesem trudnym, skomplikowanym, a czasem nawet niemożliwym. Wiele zależy od tego, ile danych przetwarza organizacja i w ilu systemach – bo przecież dane osobowe mogą być rozproszone w wielu z nich. Znaczenie ma też technologia tworzenia backupów. Trudno wyobrazić sobie odtwarzanie kolejnych kopii zapasowych, a następnie usuwanie pojedynczych rekordów i ponowne tworzenie backupu. Niewątpliwie taki zabieg wpływa bezpośrednio na jeden z filarów bezpieczeństwa kopii zapasowych, czyli na ich integralność.

Europejskie organy nadzorcze o usuwaniu danych z kopii zapasowych

Duńska agencja ochrony danych osobowych wskazuje, że jeśli osoba chce skorzystać z prawa do bycia zapomnianym, a administrator nie ma podstawy do przetwarzania jej danych, musi on usunąć te dane również z kopii zapasowej, o ile jest to technicznie możliwe (np. gdy backup nie jest w żaden sposób skompresowany, usunięcie danych z kopii będzie równie łatwe jak usunięcie ich z systemu produkcyjnego). W przypadku gdy nie ma technicznej możliwości usunięcia danych z backupu, duński organ rekomenduje prowadzenie rejestru żądań dotyczących usunięcia, aby w razie konieczności przywrócenia kopii zapasowej było wiadomo, że wskazane dane należy usunąć. Taki rejestr powinien być tworzony zgodnie z zasadą minimalizacji danych, tj. bez umieszczania w nim danych osobowych, ale z informacją, że w przypadku odtworzenia konkretny rekord danych należy usunąć.

Brytyjski organ nadzorczy (Information Commissioner’s Office, ICO) wydał wytyczne, w których wskazał, że konieczne jest podjęcie działań zapewniających usunięcie danych z kopii zapasowych. ICO zdaje sobie sprawę, że dane mogą pozostawać w kopii zapasowej przez pewien czas, aż kopia ta zostanie nadpisana. Podkreśla jednak, że minimalnym działaniem, jakie może zaakceptować, jest nieużywanie danych z kopii zapasowych, nawet jeśli nie można ich natychmiast nadpisać.

Niderlandzki organ nadzorczy również zwraca uwagę, że nie zawsze istnieje techniczna możliwość usunięcia konkretnych danych osobowych z kopii zapasowej. Przykładowo, gdy część kopii jest przechowywana na taśmach LTO, realizacja prawa do bycia zapomnianym nie jest możliwa.

Jeszcze bardziej liberalne podejście do usuwania danych z kopii zapasowych ma francuski organ nadzorczy (CNIL). Wskazuje on, że w przypadku gdy wpłynie wniosek o usunięcie danych lub gdy wygaśnie podstawa przetwarzania, należy przede wszystkim usunąć dane ze środowiska produkcyjnego, a następnie poinformować o tym zainteresowane osoby. Dane znajdujące się w kopiach zapasowych znikną razem z wygaśnięciem i nadpisaniem kopii zapasowych, przy czym jesteśmy zobligowani do podania daty usunięcia backupów. Zdaniem CNIL kopie zapasowe służą przede wszystkim do przywracania danych. Należy jednak zapewnić alternatywne rozwiązanie, które sprawi, że w przypadku odtworzenia kopii zapasowej nie zostaną przywrócone dane osoby, która skorzystała z prawa do bycia zapomnianym.

Ministerstwo Cyfryzacji o usuwaniu danych z kopii zapasowych

Ministerstwo Cyfryzacji w poradniku RODO dla sektora FinTech odniosło się do pytania: „Kiedy powstaje obowiązek usunięcia danych osobowych z kopii zapasowych systemów informatycznych?”. Resort stwierdził, że backupy są technicznym sposobem zabezpieczenia danych, do których przetwarzania administrator ma podstawę prawną. W przypadku jej ustania dane należy usunąć albo zanonimizować, przy czym trzeba uwzględnić ograniczenia technologiczne oraz ryzyko wiążące się z naruszeniem praw i wolności pozostałych osób, których dane dotyczą. Dlatego według Ministerstwa Cyfryzacji akceptowalne jest usuwanie danych z kopii zapasowej wraz z całą kopią, po ustaniu jej przydatności. Do tego czasu przetwarzanie danych w kopii zapasowej powinno być ograniczone do przechowywania, z zastrzeżeniem wyjątków wynikających z użycia kopii zapasowej zgodnie z jej przeznaczeniem.

Jednocześnie Ministerstwo Cyfryzacji zaznacza, że z uwagi na konieczność zapewnienia integralności kopii zapasowej dane osobowe w niej utrwalone nie muszą być kasowane w sposób selektywny, np. na żądanie osoby, której dane dotyczą. Resort stawia tutaj warunek, aby odpowiednio zabezpieczyć kopie zapasowe oraz aby ograniczyć ryzyko niepożądanego dostępu. Ponadto należy określić czas przechowywania kopii zapasowych – w sposób zgodny ze standardami technologicznymi oraz branżowymi.

Ministerstwo Cyfryzacji wskazuje również, że w przypadku żądania usunięcia danych na podstawie art. 17 RODO ich selektywne usuwanie z kopii zapasowej może okazać się technicznie niemożliwe lub niewspółmiernie kosztowne i wymagające zbyt dużego wysiłku organizacyjnego w stosunku do ryzyka naruszenia praw i wolności podmiotu danych. Ponadto takie selektywne usuwanie danych osobowych z kopii narusza jej integralność, co może powodować ryzyko dla praw i wolności innych osób, których dane są przechowywane w tej samej kopii.

UODO o usuwaniu danych z kopii zapasowych

W listopadowym „Biuletynie UODO” (nr 11/11/25) w artykule „Usuwanie danych z kopii zapasowych systemów informatycznych” już na samym wstępie dosadnie stwierdzono: „Administrator nie może odmawiać zrealizowania przysługującego każdemu z nas prawa do usunięcia danych osobowych, jeśli to żądanie ma uzasadnienie w przepisach prawa. Dane musi usunąć również z kopii zapasowych systemów informatycznych. Dlatego ważne jest, aby korzystać z takich systemów do tworzenia kopii zapasowych, by móc wywiązać się z tego obowiązku”.

UODO, powołując się na art. 25 RODO, wskazuje, że obowiązkiem administratora jest korzystanie z systemów pozwalających na realizację praw osób, w tym prawa do bycia zapomnianym. Organ podkreśla, że zgodnie z art. 17 RODO nie istnieją przesłanki pozwalające na odmowę realizacji tego prawa wyłącznie z tego powodu, że dane znajdują się w kopii zapasowej. W ostateczności administrator powinien ręcznie przywracać backupy, usuwać konkretne dane, a następnie ponownie tworzyć archiwa.

Na zakończenie UODO stwierdził, że „administrator nie może odmawiać nam zrealizowania żądania usunięcia naszych danych osobowych (np. ze względu na to, że jest to czasochłonne), jeśli nasze żądanie ma uzasadnienie w przepisach prawa”.

Stanowisko UODO jest potwierdzeniem tego, co wprost wynika z RODO. Problem leży jednak w praktycznej realizacji żądania i jest związany z doborem rozwiązania, jego możliwościami oraz kosztami. Również porada dotycząca odtwarzania kopii, usuwania danych i ponownego tworzenia archiwów wydaje się niemożliwa do spełnienia w praktyce.

Co więcej, pojawia się tutaj sprzeczność. Przepis art. 32 RODO nakazuje dbać o integralność i dostępność danych oraz zapewniać zdolność do szybkiego przywrócenia systemów po awarii. Tymczasem każda modyfikacja kopii zapasowej bezpośrednio narusza jej spójność.

Wymogi dyrektywy NIS 2 i walka z ransomware

Dyrektywa NIS 2 wymaga od podmiotów kluczowych przyjęcia konkretnej strategii tworzenia kopii zapasowych. W praktyce opiera się ona na niezmiennych kopiach, czyli immutable backups. Z założenia nie można ich edytować ani usuwać przez określony czas. To podstawowa ochrona ciągłości działania organizacji. Zgodnie z zalecaną przez branżę zasadą 3-2-1 (trzy kopie danych na dwóch różnych nośnikach, z czego jedna offsite), a w rozszerzonej, bezpieczniejszej wersji: 3-2-1-1-0, przynajmniej jedna kopia powinna być offline.

Administrator staje zatem przed nierozwiązywalnym konfliktem: albo stosuje się do najlepszych praktyk cyberbezpieczeństwa, chroniąc organizację przed atakami, albo realizuje stanowisko UODO, rezygnując z integralności kopii zapasowych. Obie ścieżki wzajemnie się wykluczają.

Okres przechowywania kopii zapasowych

Zastanówmy się, jak długo powinniśmy przechowywać dane osobowe w naszych bazach, a także jak długo powinniśmy trzymać kopie zapasowe. Gdy określamy czas przechowywania zbiorów kopii zapasowych, musimy brać pod uwagę zarówno wymogi biznesowe, jak i zakres danych oraz czas, przez jaki będą one nam potrzebne na wypadek awarii. Kolejnym czynnikiem wpływającym na okres przechowywania backupów jest zasadność dalszego przetwarzania danych, które się w nich znajdują.

Przykład
Firma XYZ przetwarza dane osobowe na podstawie zgody. Kopie zapasowe są tworzone w cyklach dziennych i miesięcznych. Kopia dzienna jest magazynowana przez 10 dni, po czym jest nadpisywana. Natomiast kopie miesięczne są nadpisywane dopiero po roku. Do firmy wpływa wniosek od jednej z osób, której dane dotyczą. Żąda ona, aby administrator usunął wszystkie dane, które o niej posiada. Administrator usuwa wszystkie dane z systemów produkcyjnych, jednak pojawia się problem z danymi w kopiach zapasowych. O ile dane osobowe przechowywane w kopiach dziennych znikają po 10 dniach, o tyle problem z kopiami miesięcznymi pozostaje. Wciąż znajdują się w nich dane niechciane, które firma nadal przetwarza, choć nie powinna. Usunięcie tych danych nie jest ani proste, ani oczywiste.

Integralność kopii zapasowych

Teoretycznie istnieje możliwość odtwarzania każdej kopii, a następnie usuwania pojedynczych danych i ponownej kompresji, jednak często będzie to proces trudny, czasochłonny, a niekiedy także kosztowny. Usuwanie rekordów z kopii zapasowych jest zabiegiem naruszającym ich integralność. Duński organ nadzorczy przypomina, że podstawowym celem tworzenia kopii zapasowych jest możliwość odzyskania danych w przypadku ich utraty w działającym systemie.

Pozbawienie kopii zapasowej przymiotu integralności może godzić w bezpieczeństwo innych danych znajdujących się w kopii. Rodzi to pytanie, czy realizacja prawa jednej osoby może odbyć się kosztem praw innych osób. Backupy mogą również służyć jako dowód, że na przykład ktoś modyfikuje dane w systemach produkcyjnych. Jednak wykorzystywanie kopii zapasowych jako dowodów może okazać się bezzasadne, jeśli nie można wykazać integralności tych kopii.

Jak ograniczyć ryzyko w procesie usuwania danych z kopii zapasowych

Często okazuje się, że koszt i wysiłek potrzebne do usunięcia danych konkretnej osoby z kopii zapasowej są niewspółmierne do efektu. Jest jednak różnica między samym stwierdzeniem, że dany proces jest nieracjonalny, a udowodnieniem tego. Aby ograniczyć ryzyko związane z usuwaniem danych z kopii zapasowych, warto podjąć w organizacji następujące działania:

1. Przeprowadźmy analizę ryzyka, a także analizę jego wpływu na biznes.
2. Uporządkujmy wewnętrzne regulacje, procedury i polityki. W tym wypadku zadbajmy o procedurę tworzenia, odtwarzania oraz usuwania kopii zapasowych. Jeśli nie określimy jasno co robić, a czego nie robić, może się okazać, że nie będziemy w stanie obronić przyjętego podejścia.
3. Zadbajmy o edukację pracowników. Powinni oni znać swoje obowiązki w zakresie ochrony danych osobowych.
4. Zmapujmy wszystkie procesy biznesowe oraz zasoby danych. Ważne jest, aby wiedzieć, jak i gdzie dane są przetwarzane.
5. Zadbajmy, aby przetwarzanie danych w systemach produkcyjnych było zgodne z prawem. Określmy ramy czasowe, w których zamierzamy przetwarzać dane – również w kopiach zapasowych. Nie trzymajmy backupów dłużej, niż jest to konieczne. Jeśli procesy przechowywania danych nie mają solidnych zasad usuwania starych danych, może to zostać uznane za nieprawidłową praktykę.
6. Wdróżmy plan usuwania danych. Nie ma sensu próbować wyjaśniać, dlaczego nie możemy czegoś usunąć, jeśli nigdy nie planowaliśmy tego robić.
7. Jeśli w kopiach zapasowych znajdują się dane, których nie powinniśmy przechowywać, poinformujmy osoby, których te dane dotyczą, dlaczego ich dane się tam znajdują.
8. Zadbajmy o bezpieczeństwo kopii zapasowych: szyfrowanie silnymi i aktualnymi technikami, ograniczenie dostępów do kopii oraz przechowywanie ich w bezpiecznym miejscu.
9. Zaangażujmy najwyższe kierownictwo w akceptację i kontrolę ryzyk.