31 marca to Światowy Dzień Backupu to doskonała okazja, by przypomnieć sobie o jednej z najważniejszych czynności w cyfrowym świecie: tworzeniu kopii zapasowych. W kontekście biznesowym to jednak coś więcej niż tylko dobra praktyka. To prawny obowiązek wynikający z RODO, którego zaniedbanie może prowadzić do poważnych konsekwencji, w tym wysokich kar finansowych.

W dzisiejszych czasach utrata danych to nie tylko utrata cennych wspomnień, ale przede wszystkim ryzyko paraliżu działalności firmy lub instytucji publicznej oraz naruszenia praw osób, których dane przetwarzamy. Awaria serwera, atak ransomware czy zwykły ludzki błąd mogą sprawić, że z dnia na dzień stracimy dostęp do danych osobowych.

Backup jako obowiązek prawny?

Choć w Ogólnym rozporządzeniu o ochronie danych (RODO) nie znajdziemy bezpośredniego sformułowania „obowiązek tworzenia kopii zapasowych”, to wynika on wprost z zasad i przepisów dotyczących bezpieczeństwa danych.

1. Zasada integralności i poufności
   Podstawę stanowi art. 5 ust. 1 lit. f RODO, który mówi, że dane osobowe muszą być przetwarzane w sposób „zapewniający odpowiednie bezpieczeństwo (…), w tym ochronę przed przypadkową utratą, zniszczeniem lub uszkodzeniem”. Brak kopii zapasowej jest bezpośrednim zaprzeczeniem tej zasady, ponieważ w przypadku awarii dane mogą zostać bezpowrotnie utracone. Szczególnie dotyczy to sytuacji, w której dane osobowe przetwarzane są wyłącznie elektronicznie.
2. Bezpieczeństwo przetwarzania Najważniejszym przepisem jest jednak art. 32 RODO, który nakłada na administratora danych obowiązek wdrożenia „odpowiednich środków technicznych i organizacyjnych”, aby zapewnić bezpieczeństwo przetwarzania. Jednym z kluczowych wymogów wymienionych w tym artykule jest zapewnienie „zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego „zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego” (art. 32 ust. 1 lit. c RODO). W praktyce jedynym skutecznym sposobem na realizację tego obowiązku jest posiadanie regularnie tworzonych oraz cyklicznie sprawdzanych (odtwarzanych) kopii zapasowych.

Konsekwencje braku kopii zapasowych w praktyce

Gdy dochodzi do naruszenia ochrony danych (np. w wyniku ataku ransomware), Prezes Urzędu Ochrony Danych Osobowych ocenia, czy administrator dochował należytej staranności. Jednym z obszarów oceny jest sprawdzenie, czy Administrator Danych zapewnił możliwość szybkiego przywrócenia dostępności danych osobowych, czyli w praktyce: czy istniała kopia zapasowa i czy można było z niej odtworzyć dane?

Brak działającego backupu lub brak backupu w ogóle jest traktowany jako rażące zaniedbanie i dowód na niewdrożenie odpowiednich środków bezpieczeństwa, co może stanowić podstawę do nałożenia administracyjnej kary pieniężnej.

Jak stworzyć skuteczny system tworzenia kopii?

Aby backup spełniał swoją rolę i był zgodny z wymogami prawa, warto pamiętać o kilku zasadach:

• Regularność: Kopie zapasowe muszą być wykonywane systematycznie. Częstotliwość zależy od tego, jak często dane się zmieniają i jak dużą ich utratę firma jest w stanie zaakceptować.
• Testowanie: Backup, którego nie da się odtworzyć, jest bezużyteczny. Należy regularnie przeprowadzać testy odtwarzania danych, aby mieć pewność, że w razie kryzysu system zadziała.
• Reguła 3-2-1: To złoty standard w branży IT. Oznacza posiadanie trzech kopii danych, na dwóch różnych nośnikach, z czego jedna kopia przechowywana jest w innej lokalizacji (np. w chmurze lub w innym budynku).
• Szyfrowanie: Kopie zapasowe, zwłaszcza te przechowywane poza siedzibą firmy (np. na dyskach przenośnych lub w chmurze), muszą być zaszyfrowane. Chroni to dane w przypadku fizycznej kradzieży nośnika.
• Zarządzanie retencją: Określ, jak długo przechowujesz kopie zapasowe. Musi to być okres wystarczający do odtworzenia danych, ale zgodny z zasadą minimalizacji danych.

Światowy Dzień Backupu to idealny moment, by zweryfikować procedury tworzenia kopii zapasowych. Pamiętajmy, że backup to nie koszt, lecz inwestycja w ciągłość działania i fundament zgodności z RODO. To Twoja cyfrowa polisa ubezpieczeniowa, która chroni zarówno Ciebie jako Administratora Danych, jak i dane Twoich klientów, kontrahentów czy pracowników.