Utrata danych zarówno w życiu osobistym, jak i zawodowym może mieć bardzo poważne konsekwencje. O konieczności wykonywania kopii zapasowych przypomnimy sobie właśnie w momencie utraty danych. Dla firm czy instytucji obowiązek tworzenia kopii zapasowych wynika bezpośrednio z konieczności stosowania odpowiednich zabezpieczeń dla przetwarzanych danych osobowych przez administratorów danych. Na konieczność ich wykonywania uwagę zwraca w swoich decyzjach Urząd Ochrony Danych Osobowych, a także Ministerstwo Cyfryzacji.
To administrator danych podejmuje decyzję o tym, jakie środki i zabezpieczenia będą u niego w jednostce wdrożone. Powinien on - uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania, a także ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze - wdrożyć odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Stosowanymi zabezpieczeniami mogą być:
Wykonywania kopii bezpieczeństwa danych nie należy mylić z tworzeniem archiwum danych. Kopia bezpieczeństwa ma umożliwić odzyskanie utraconych w pewien sposób danych. O ile na użytek domowy kopie danych można wykonywać ręcznie, we własnym zakresie, co jakiś czas, to firmy i instytucje muszą brać pod uwagę obwiązujące ich przepisy, w tym regulacje wynikające z RODO i co za tym idzie - stosować bardziej zaawansowane narzędzia służące wykonywaniu kopii zapasowych, które automatyzują ten proces i pozwalają na szybsze i bardziej efektywne tworzenie kopii plików.
Ministerstwo Cyfryzacji w publikacji: "Jak nie stracić swoich danych, czyli kopie zapasowe w pigułce", zamieszczonej na stronie www.gov.pl/web/cyfryzacja, zaleca, aby tworzyć kopie zapasowe w sposób świadomy i wcześniej zaplanowany, wówczas niwelowane jest ryzyko popełnienia błędów. Przy tworzeniu kopii zapasowych (z ang. backup) warto odnieść się do zasady 3-2-1:
Dzięki tej zasadzie przechowywane dane będą względem siebie niezależne, np. w przypadku cyberataku na infrastrukturę albo np. pożaru lub włamania mamy pewność, że nasze dane mimo wszystko są bezpieczne. Tworząc kopie danych, warto zadać sobie następujące pytania: które dane planuje się zachować, w jaki sposób i jak często będą tworzone kopie zapasowe i w jakiej formie?
Administratorzy danych tworzący kopie zapasowe muszą pamiętać o ciążącym na nich obowiązku usuwania danych z kopii zapasowych, które nakłada na nich RODO, w przypadku wygaśnięcia podstawy do przetwarzania danych osobowych konkretnej osoby czy skorzystania przez nią z prawa do bycia zapomnianym.
Administrator, który nie ma podstawy do dalszego przetwarzania danych osoby, musi usunąć jej dane również z kopii zapasowej, o ile jest to technicznie możliwe. Ministerstwo Cyfryzacji w "RODO poradniku dla sektora fintech" stwierdza, iż: "(...) akceptowalnym rozwiązaniem jest, aby dane osobowe były kasowane tylko razem z całą kopią zapasową, po ustaniu podstaw przetwarzania wszystkich zawartych w niej danych osobowych lub po ustaniu przydatności kopii zapasowej".
Ministerstwo Zdrowia ma swoje rekomendacje dotyczące tworzenia kopii zapasowych w podmiotach leczniczych. Na stronie Ministerstwa można przeczytać, że: "Systemy zapewniające cyberbezpieczeństwo stanowią linię obrony przed tego typu atakami, ale w przypadku przełamania zabezpieczeń i udanego ataku ostatnią formą ochrony jest posiadanie skutecznej kopii zapasowej, umożliwiającej odtworzenie danych i systemów". Za funkcjonowanie w podmiocie wykonującym działalność leczniczą prawidłowego systemu kopii zapasowej odpowiada kierownik podmiotu. Dlatego musi on zweryfikować, czy jego służby IT:
Ministerstwo rekomenduje, aby kopie zapasowe były wykonywane na taśmach magnetycznych, odpornych na działanie ransomware. Doraźną alternatywę mogą stanowić dyski twarde, które po wykonaniu kopii zapasowej będą odłączane od serwerów.
|
Sytuacje, w wyniku których może dojść do utraty danych, to:
|
| ||||||||||||
|
||||||||||||
