Dane osobowe trzeba usuwać również z kopii zapasowych

Autor: Marcin Sarna
Data: 29-05-2014 r.

Ustawy o ochronie danych osobowych mówi, że naruszenie (choćby nieumyślnie) obowiązku zabezpieczenia zbioru skutkuje nałożeniem na administratora grzywny, kary ograniczenia albo pozbawienia wolności do roku. Jest to silna motywacja do prawidłowego zabezpieczenia danych osobowych, także w kontekście tworzenia kopii zapasowych.

Jednak w praktyce usunięcie danych z backupu może być kłopotliwe od strony technicznej i organizacyjnej. Taka operacja grozi również uszkodzeniem kopii zapasowej, potencjalnie uniemożliwiającej odtworzenie danych w razie potrzeby.

Naczelny Sąd Administracyjny w wyroku z 3 lipca 2009 roku (I OSK 633/08) skłonił się ku poglądowi, że nakazanie usuwania danych osobowych z backupów nie jest zbyt restrykcyjną interpretacją ustawy o ochronie danych osobowych. Sąd zauważył, że rozporządzenie ministra spraw wewnętrznych i administracji z 19 kwietnia 2004 roku wprowadza w § 5 pkt 4 pojęcie kopii zapasowych. Administrator ma prawo przechowywać dane osobowe w kopii (co także jest przejawem przetwarzanie) tak długo, jak w ogóle ma prawo przetwarzać te informacje. Przykładowo, jeśli GIODO w wyniku kontroli nakazało zaprzestania przetwarzania określonych danych osobowych, to należy przestać je przetwarzać również z wykorzystaniem kopii zapasowej – czyli usunąć je.

Zachowanie tych danych w backupie jest możliwe tylko w przypadkach przewidzianych w ustawie o ochronie danych osobowych, zwłaszcza w jej art. 23. Bank, który był stroną we wspomnianej sprawie, próbował więc podnosić, że usunięcie personaliów z backupu pozbawiłoby go możliwości odtworzenia stanu systemu informatycznego w określonym dniu. To z kolei naruszyłoby bezpieczeństwo informatyczne banku, więc pozwany argumentował, że przetwarzanie danych osobowych w backupie znajduje podstawę w art. 23 ust. 1 pkt 5 ustawy. Pozwala on na przetwarzanie danych osobowych, jeśli „jest to niezbędne dla wypełnienia prawnie usprawiedliwionych celów realizowanych przez administratorów danych albo odbiorców danych, a przetwarzanie nie narusza praw i wolności osoby, której dane dotyczą”. Zarówno WSA, jak i NSA nie podzieliły jednak tego toku rozumowania.

Z opisanej sprawy płynie istotna wskazówka co do sposobu tworzenia kopii zapasowych. Backupy powinny mianowicie umożliwiać, w razie zaistnienia takiej potrzeby, szybkie i usuwanie danych osobowych określonych według jakiegoś parametru, np. nazwiska. W ten sposób z kopii zapasowej automatycznie powinny zniknąć wszystkie dane odnoszące się do konkretnej osoby.

Marcin Sarna

Zaloguj się, aby dodać komentarz

Nie masz konta? Zarejestruj się »

Zobacz także

Jak zatrzeć ślady po przeglądaniu Internetu?

pobierz

Wzór Polityki Bezpieczeństwa w ochronie danych osobowych

pobierz

Konfiguracja bezpieczeństwa. Windows 10

pobierz

10 sprytnych trików na szybkie obliczenia w Excelu

pobierz

Polecane artykuły

Polecamy kancelarię:

  • Kancelaria Radcy Prawnego Małgorzata Suchecka

    al. Grunwaldzka 472D Lokal 1 Olivia Business Centre, Olivia Six (13. piętro), 80-309 Gdańsk

    Wyświetl wizytówkę
  • Kancelaria Prawna Iurisco Edyta Przybyłek

    ul. Zgrzebnioka 28, 40-520 Katowice

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marcin Majcherczyk

    ul. Stawowa 4 lok. 39, 41-200 Sosnowiec

    Wyświetl wizytówkę
  • Buszan Suchecka Orłowski Adwokat Radcowie Prawni Sp.p.

    ul. Armii Krajowej 22/2, 81-849 Sopot

    Wyświetl wizytówkę
  • THE N.E.W.S. LAW CENTER Kancelaria Adwokatów i Radców Prawnych

    ul. Kazachska 1/89, 02-999 Warszawa

    Wyświetl wizytówkę
  • adwokat Wojciech Rudzki - kancelaria adwokacka

    Józefa Piłsudskiego 40/4 Kraków 31 - 111

    Wyświetl wizytówkę
  • KANCELARIA ADWOKACKA Adwokat Michał Gajda

    ul. Księcia Bogusława X 1/3, 70-440 Szczecin

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Robert Dudkowiak

    ul. Jana Pawła II 11 lok. 5, 62-300 Września

    Wyświetl wizytówkę
  • Kancelaria Adwokacka Adwokata Piotra Sęka

    ul. Narutowicza 44 lok. 20, 90-135 Łódź

    Wyświetl wizytówkę
  • Kancelaria Radców Prawnych ARVE M.Kusztan & R.Ponichtera Sp. K.

    ul. Czysta 4, 50-013 Wrocław

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Marek Foryś

    ul. Słupecka 9/1, Gdynia

    Wyświetl wizytówkę
  • Kancelaria MERITUM

    ulica Westerplatte 13/5, 31-033 Kraków

    Wyświetl wizytówkę
  • Kancelaria Radcy Prawnego Radosław Tymiński

    Łukowska 9 Lok. 126, 04-133 Warszawa

    Wyświetl wizytówkę
Array ( [docId] => 35019 )
Array ( [docId] => 35019 )

Array ( [docId] => 35019 )