RODO a tworzenie kopii zapasowych

RODO a tworzenie kopii zapasowych

Przepisy RODO nie odnoszą się osobno do przechowywania danych osobowych i do backupu. Traktują na równi zapis źródłowy tych danych i ich kopię.

Niebawem wejdzie w życie Rozporządzenie Parlamentu Europejskiego i Rady UE 2016/679 z dnia 27 kwietnia 2016 roku w sprawie ochrony danych osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych. Tak brzmi pełna nazwa RODO, uchylającego dyrektywę o ochronie danych osobowych, obowiązującą od 1995 roku. RODO ujednolica system ochrony danych osobowych w całej Unii Europejskiej.

Kogo obejmie?

Przepisy RODO dotyczą wszystkich przedsiębiorstw. Natomiast nie będzie mieć zastosowania do przetwarzania danych przez osoby fizyczne, działające prywatnie (nie w ramach działalności gospodarczej). RODO, oprócz funkcjonowania na terytorium UE, wymusza jego stosowanie wobec obywateli krajów członkowskich także na podmiotach mieszczących się poza Unią.

Jak postrzegany jest backup przez RODO?

Przepisy RODO nie odnoszą się osobno do przechowywania danych osobowych i do backupu. Traktują na równi zapis źródłowy tych danych i ich kopię, bowiem wymagania ochronne dla backupu są dokładnie takie same, jak dla zapisu źródłowego. Zatem, według RODO, backup jest formą przechowywania danych, a w przypadku uszkodzenia lub utraty pliku źródłowego automatycznie przyjmuje jego status.

Jakie są podstawowe zasady backupu według RODO?

  •  Dostępność danych. Musi być ona łatwa i szybka, co wiąże się z koniecznością doboru komputera o odpowiedniej mocy i właściwego systemu informatycznego. Dane powinny być także dostępne z każdego poziomu pracy.
  • Autentyczność. Przetwarzane dane muszą realnie i w pełni przedstawiać sytuację osoby, której dotyczą. Backup powinien zachować autentyczność danych, będących w posiadaniu administratora; w przeciwnym wypadku zasady RODO zostaną naruszone.
  • Integralność danych osobowych. Oznacza to, że przechowywane są w takiej postaci, w jakiej mają być przeznaczone do wykorzystania, czyli metody ich kopiowania muszą gwarantować identyczność backupu z zawartością pliku źródłowego, bez dezintegracji zarówno podczas wykonywania kopii, jak i przesyłania oraz zapisywania danych.
  • Poufność, czyli zabezpieczenie danych przed dostępem osób niepowołanych, zarówno plików źródłowych, jak i backupów. Należy podkreślić, że środki ostrożności wobec pliku źródłowego i wobec backupu są na ogół odmienne. Otóż, wiele kopii danych osobowych przechowywanych jest w tabletach, smartfonach, itp. urządzeniach mobilnych. Wszystko to są backupy, choćby nawet były częściowe. Z urządzenia mobilnego można skorzystać także bez wiedzy właściciela lub wręcz wbrew jego woli, można więc skopiować poufne dane.

     

    Dlatego tak ważne jest zabezpieczanie wszystkich urządzeń mobilnych.

Formalny zapis zawiera siedem zasad przetwarzania danych osobowych:

1. Zasada zgodności z prawem, rzetelności i przejrzystości - art. 5 ust. 1 a)

 

2. Zasada ograniczenia celu przetwarzania danych - art. 5 ust. 1 b)

 

3. Zasada minimalizacji danych - art. 5 ust. 1 c)

 

4. Zasada prawidłowości danych - art. 5 ust. 1 d)

 

5. Zasada ograniczenia przechowania danych - art. 5 ust. e)

 

6. Zasada integralności i poufności danych - art. 5 ust.1 f)

 

7. Zasada rozliczalności – obowiązek wykazania przez administratora, że wszelkie operacje na danych osobowych, jakich dokonuje, są zgodne z powyższymi zasadami.

 

Czym są dane osobowe według RODO?

Danymi osobowymi nazywamy informacje o zidentyfikowanej lub możliwej do zidentyfikowania osobie fizycznej. W kwestii definicji RODO zasadniczo niczego nie zmienia. Natomiast zmianom ulega sposób postępowania z tymi danymi, a zwłaszcza ich przetwarzanie i zabezpieczanie.

Jakie znaczenie ma RODO dla e-Commerce?

Handel internetowy będzie pierwszym obszarem, gdzie nastąpi praktyczna weryfikacja RODO. Sklepy działające w sieci będą musiały poinformować klientów o zmianie przepisów o ochronie danych osobowych i czynić to tak, aby nie czuli się oni zagrożeni. Branża e-Commerce, jako znajdująca się najbliżej najnowszych technologii, będzie dobrym „poligonem doświadczalnym” dla funkcjonowania RODO.

 

Jak będzie prowadzona archiwizacja i usuwanie danych? RODO wymaga wprowadzenia w systemach informatycznych automatyzacji usuwania danych identyfikacyjnych. Istnieją jednak obszary, gdzie np. dla celów bezpieczeństwa lub dowodowych dane należy archiwizować, ale nie wolno ich usuwać. Obecnie, aby usunąć jeden rekord, należy go odtworzyć, skasować i ponownie zarchiwizować bazę. Dlatego informatycy stoją wobec ogromnych wyzwań, bowiem automatyzacja tej operacji wymaga istotnej przebudowy systemów. Autor: Konrad Bielawski, DATA Lab

Oceń blog:
Czas czytania: 6 min
Data: 27.04.2018

Terminarz

prev

next

Lista najbliższych webinariów

03.09.2026
09:00 Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
Warsztaty Hardening Windows – LAPS, Restricted Groups, Compliance Toolkit (1 dzień)
08.09.2026
09:00 Szkolenie Ansible z Windows i Active Directory
Szkolenie Ansible z Windows i Active Directory
10.09.2026
09:00 Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
Szkolenie Ansible – automatyzacja infrastruktury IT bez agentów (2 dni)
22.09.2026
09:00 Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
Hardening Windows i Active Directory – Tiering, PAW, Jump Servers (warsztaty 1 dzień)
22.09.2026
10:00 Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
Szkolenie: cyberbezpieczeństwo dla pracowników biurowych
newsletter
Chcesz wiedzieć więcej? Zapisz się na Newsletter i otrzymuj najnowsze informacje

Zobacz inne wpisy

Wiedza i świadomość na temat aktualnych cyberzagrożeń to podstawa dobrej taktyki bezpieczeństwa. Chcesz być na bieżąco z wydarzeniami ze świata cybersecurity? A może szukasz wskazówek jak zapewnić wyższy poziom cyberbezpieczeństwa w swojej firmie? Chcesz poznać topowe rozwiązania? Dobrze trafiłeś.

zobacz wszystkie wpisy
Moduły CrowdStrike Falcon - jak rozbudowywać ochronę firmy Endpoint Detection and Response (EDR)
PromptLock - pierwszy ransomware wykorzystujący AI do pisania kodu Endpoint Detection and Response (EDR)
Agenci AI i bezpieczeństwo tożsamości – kto naprawdę działa w systemie? Autoryzacja i Zarządzanie Tożsamością
Ochrona endpointów i XDR – ataki, które nie wyglądają jak wirusy Extended Detection and Response (XDR)
Masz 29 minut. Jak szybko haker może przejąć firmę Endpoint Detection and Response (EDR)
Forcepoint DSPM (Data Security Posture Management)

Forcepoint DSPM (Data Security Posture Management)

Wycena indywidualna
Zobacz więcej
Forcepoint DLP for Email

Forcepoint DLP for Email

Wycena indywidualna
Zobacz więcej
Barracuda Email Protection for M365

Barracuda Email Protection for M365

Barracuda Email Protection dla Microsoft 365 - ochrona poczty przed phishingiem, BEC i malwarem, backup Exchange i SharePoint, archiwizacja compliance. Trzy plany dla firm i instytucji.

Wycena indywidualna
Zobacz więcej