Przepisy RODO szczegółowo regulują cały cykl życia danych osobowych, od momentu ich zbierania, aż po kwestie dotyczące ich usunięcia. Nie ulega bowiem wątpliwości, że prawidłowe i zgodne z wymogami RODO usunięcie danych osobowych jest jedną z podstawowych kwestii dotyczących bezpieczeństwa danych osobowych. Nadmiernie długie przechowywanie danych osobowych podwyższa poziom zagrożenia ich utraty lub naruszenia ich integralności, co rodzi po stronie administratora danych niepotrzebne ryzyko wystąpienia incydentu bezpieczeństwa danych.
Trwałe usunięcie danych powinno nastąpić według reguł wdrożonych przez administratora danych, zgodnie z obligującymi w jego organizacji wymogami. W tym miejscu pojawia się jednak pytanie, co w takim razie zrobić z wykonanymi kopiami bezpieczeństwa? Konieczne jest bowiem ustalenie, kiedy i w jakich okolicznościach usunięcie danych osobowych powinno obejmować też ich usunięcie z kopii bezpieczeństwa.
Co oznacza zasada retencji danych osobowych?
Konieczność usunięcia danych osobowych w odpowiednim czasie wynika z zasady retencji danych osobowych (ograniczonego przechowywania). Zasada ograniczonego przechowywania danych została określona w art. 5 ust. 1 pkt e RODO, zgodnie z którym dane osobowe muszą być przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane.
W motywie 39 Preambuły RODO w odniesieniu do zasady ograniczonego przechowywania danych wskazano z kolei, że: „wszelkie przetwarzanie danych osobowych powinno być zgodne z prawem i rzetelne. Dane osobowe powinny być adekwatne, stosowne i ograniczone do tego, co niezbędne do celów, dla których są one przetwarzane.
Wymaga to w szczególności zapewnienia ograniczenia okresu przechowywania danych do ścisłego minimum […]. Aby zapobiec przechowywaniu danych osobowych przez okres dłuższy, niż jest to niezbędne, administrator powinien ustalić termin ich usuwania lub okresowego przeglądu. Należy podjąć wszelkie rozsądne działania zapewniające sprostowanie lub usunięcie danych osobowych, które są nieprawidłowe”.
Powyższe oznacza, że w każdej sytuacji, gdy administrator danych zakończy przetwarzanie danych w określonym celu, dane te powinny zostać usunięte, zgodnie z obowiązującą u administratora polityką retencji danych osobowych.
Zasady tworzenia kopii bezpieczeństwa
Analizując temat retencji danych pod kątem wykonywania kopii bezpieczeństwa, trzeba rozważyć, kiedy i na jakich zasadach należy wykonywać kopie bezpieczeństwa. Zgodnie z art. 32 ust. 1 RODO: uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, okoliczności i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i różnej wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku, w tym m.in. w stosownym wypadku:
- pseudonimizację i szyfrowanie danych osobowych;
- zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania;
- zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego;
- regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
WAŻNE! Tworzenie kopii zapasowych przez administratorów danych jest realizacją obowiązku wynikającego z art. 32 Mając na uwadze treść powołanego przepisu, należy wskazać, że tworzenie kopii zapasowych danych (czy też backupu systemowego lub sprzętowego) jest jednym ze środków służących ciągłemu zapewnianiu dostępności i odporności systemów oraz usług przetwarzania, zapewnia ponadto zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Wykonywanie kopii bezpieczeństwa jest zatem jednym z podstawowych środków służących prawidłowemu |
W tym miejscu...
Dalsza część jest dostępna dla użytkowników z wykupionym planem