29 września 2017

Czy RODO wymaga tworzenia kopii zapasowych?

RODO (Rozporządzenie o Ochronie Danych Osobowych) zakłada proaktywne podejście do ochrony danych osobowych. Rozporządzenie formalnie nie określa standardów bezpieczeństwa przetwarzanych danych, pozostawia organizacjom pole do decyzji, jakimi środkami je chronić

Dotychczas dysponowaliśmy szczegółowymi przepisami zawartymi w rozporządzeniu MSWiA z dnia 29 kwietna 2004 o środkach zabezpieczających. Dawało to możliwość spełnienia  zgodności z prawem przynajmniej na minimalnym wymaganym poziomie. Natomiast w momencie wejścia w życie RODO nie będziemy już mieli dokładnych wytycznych co do wymaganych zabezpieczeń. Osoba pełniąca funkcję Administratora Bezpieczeństwa Informacji będzie sama decydować o metodach adekwatnych zabezpieczeń biorąc odpowiedzialność za ocenę skutków ew. naruszeń  bezpieczeństwa danych.

Zdecydowanie jednym ze środków zabezpieczenia danych jest tworzenie kopii zapasowych. Wskazuje na nie wprost Rozporządzenie o środkach zabezpieczających.

Co do zakresu i formy backupu należy kierować się wytycznymi Grupy Roboczej art. 29*, w których mowa jest o tym, że kopie zapasowe powinny być przechowywane w fizycznie albo logicznie różnych lokalizacjach. Powinny być one tworzone i testowane regularnie zgodnie z założeniami backup policy administratora danych lub podmiotu, który wykonuje te czynności na zlecenie administratora.

 

Obowiązek tworzenia kopii zapasowych pośrednio wynika z zapisów rozporządzenia mówiących o  konieczności zapewnienia dostępności do danych w przypadku ich utraty.

 

*Grupa Robocza art. 29 – grupa do spraw ochrony osób fizycznych w zakresie przetwarzania danych osobowych powołana na mocy artykułu 29 dyrektywy 95/46/WE Parlamentu Europejskiego i Rady.