Jedną z głównych zasad przetwarzania danych osobowych w zgodzie z RODO jest tzw. zasada ograniczenia przechowywania. RODO mówi nam, że dane osobowe muszą być
przechowywane w formie umożliwiającej identyfikację osoby, której dane dotyczą, przez okres nie dłuższy, niż jest to niezbędne do celów, w których dane te są przetwarzane, a potem usunięte. Dane osobowe można przechowywać przez okres dłuższy, o ile będą one przetwarzane wyłącznie do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych na mocy art. 89 ust. 1 RODO, z zastrzeżeniem że wdrożone zostaną odpowiednie środki techniczne i organizacyjne w celu ochrony praw i wolności osób, których dane dotyczą. Innymi słowy – RODO wprowadza zakaz przetwarzania danych w nieskończoność (bezterminowo).

Jak zatem mają się do tego backupy, które najczęściej robimy przecież „zbiorczo”, w tym znaczeniu, że w kopii zapasowej mogą znajdować się zarówno dane, dla których zakończył się cel lub podstawa przetwarzania (i które powinniśmy usunąć), jak i takie, które nadal mamy prawo przetwarzać.

Co do zasady, obowiązek usuwania konkretnych danych z kopii zapasowych nakłada na nas RODO w następujących przypadkach:

Wygaśnięcie/odpadnięcie podstawy prawnej do przetwarzania danych osobowych konkretnej osoby, skorzystanie przez podmiot danych z prawa do bycia zapomnianym (osobną kwestią jest to, kiedy takie żądanie jest zasadne).

Z jednej strony RODO w art. 32 nakazuje administratorowi tworzenie kopii zapasowych, ale z drugiej strony przypomina, iż samo przechowywanie danych w kopiach zapasowych jest ich przetwarzaniem, co narzuca wymogi odnośnie do backupów.

Przypominam przy tym, że „przetwarzanie” oznacza dowolną operację lub zestaw operacji wykonywanych na danych osobowych lub na zbiorach danych osobowych, w sposób zautomatyzowany lub niezautomatyzowany, taką jak zbieranie, utrwalanie, organizowanie, strukturyzacja, przechowywanie, adaptacja lub zmiana, odzyskiwanie, konsultacja, wykorzystanie, ujawnianie poprzez transmisję, rozpowszechnianie lub udostępnianie w inny sposób, dostosowywanie lub łączenie, ograniczanie, usuwanie lub niszczenie. Z tego powodu wszelkie zasady postępowania z danymi osobowymi wynikające z RODO, mają zastosowanie do danych osobowych przetwarzanych w kopiach zapasowych.

Tyle teorii. Rozumiem przy tym oczywiście, że teoria może być trudna do zrealizowania w praktyce. O dziwo rozumieją to także organy nadzorcze i wyjątkowo pozwalają na stosowanie pewnych „złagodzeń”.

Wytyczne organów:

Duńska agencja ochrony danych osobowych stwierdza, iż w przypadku wystąpienia przez podmiot danych z żądaniem usunięcia danych (prawo do bycia zapomnianym), kiedy administrator nie ma podstawy do przetwarzania danych tego podmiotu, musi on usunąć dane również z kopii zapasowej, o ile jest to technicznie możliwe (np. backup nie jest w żaden sposób skompresowany, a więc usunięcie danych z kopii będzie równie łatwe jak usunięcie z systemu produkcyjnego). W przypadku braku technicznej możliwości usunięcia takich danych z backupu, organ radzi przechowywać spis żądanych usunięć, aby w razie konieczności przywrócenia kopii zapasowej wiedzieć, że wspomniane dane należy usunąć. Rejestr żądań powinien być tworzony zgodnie z zasadą minimalizacji danych, tj. nie możemy umieszczać tam danych osobowych, ale powinniśmy podać informację, iż w przypadku odtworzenia konkretny rekord danych należy usunąć.

Brytyjski organ nadzorczy (Information Commissioner’s Office) wydał wytyczne stwierdzające, że konieczne jest podjęcie kroków w celu zapewnienia usunięcia danych z kopii bezpieczeństwa. ICO zdaje sobie sprawę, że dane mogą pozostawać w kopiach zapasowych przez pewien czas, aż kopia zapasowa zostanie nadpisana. ICO wskazuje, że minimalnym działaniem, które byłoby w stanie zaakceptować, będzie nieużywanie danych z kopii, nawet jeśli nie można ich natychmiast nadpisać.

Francuski organ (CNIL) twierdzi, że w przypadku wpłynięcia wniosku o usunięcie danych czy wygaśnięcia podstawy przetwarzania, należy przede wszystkim usunąć dane ze środowiska produkcyjnego. Następnym krokiem będzie poinformowanie zainteresowanych osób o usunięciu danych ze środowiska produkcyjnego, a dane znajdujące się w kopiach zapasowych znikną razem z wygaśnięciem i nadpisaniem kopii zapasowych, przy czym administrator zobligowany jest do podania daty usunięcia backupów. Zdaniem CNIL, kopie zapasowe służą przede wszystkim do przywrócenia danych. Należy jednak zapewnić alternatywne rozwiązanie, które zapewni, iż w przypadku przywrócenia kopii zapasowych, dane osoby, która chce skorzystać z prawa do bycia zapomnianą, nie zostaną przywrócone.

Ministerstwo Cyfryzacji w poradniku RODO dla sektora FINTECH odpowiedziało na pytanie: „Kiedy powstaje obowiązek usunięcia danych osobowych z kopii zapasowych systemów informatycznych?”  Stwierdzono, iż backupy stanowią techniczny sposób zabezpieczenia danych, co do których administrator ma podstawę przetwarzania. W przypadku jej ustania należy te dane usunąć albo zanonimizować, aczkolwiek należy wziąć pod uwagę ograniczenia płynące z możliwości technologicznych oraz ryzyka wiążącego się z naruszeniem praw i wolności pozostałych osób, których dane dotyczą. Stąd według Ministerstwa akceptowalne będzie usuwanie danych z kopii zapasowej wraz z całą kopią, po ustaniu jej przydatności. Do tego czasu należy ograniczyć przetwarzanie danych w kopii zapasowej do przechowywania, oczywiście wraz z wyjątkami użycia kopii zapasowej zgodnie z jej przeznaczeniem.

Jednocześnie, z uwagi na konieczność zapewnienia integralności kopii zapasowej, dane osobowe w niej utrwalone nie muszą być kasowane w sposób selektywny, np. na żądanie osoby, której dane dotyczą.”

Ministerstwo stawia tutaj warunek, aby kopie zapasowe były odpowiednio zabezpieczone oraz aby ograniczyć ryzyko niepożądanego dostępu. Należy też określić czas przechowywania kopii zapasowych, tak aby były one zgodne ze standardami technologicznymi oraz branżowymi.

W przypadku kopii zapasowych i żądania usunięcia danych na podstawie art. 17 RODO może realnie zdarzyć się, że nie będzie technicznie możliwe usunięcie danych zawartych w kopii zapasowej lub koszty i wysiłek organizacyjny takiego selektywnego usunięcia danych będą zbyt duże w stosunku do ryzyka naruszenia praw i wolności podmiotu danych. Ponadto selektywne usunięcie danych osobowych z kopii narusza integralność kopii danych, a zatem może powodować ryzyko dla praw i wolności innych osób, których dane są przechowywane w ramach tej samej kopii danych.”

Podsumowując:

– tworzenie kopii zapasowych to także przetwarzanie danych osobowych

– wszelkie zasady postępowania z danymi osobowymi wynikające z RODO, mają zastosowanie do danych osobowych przetwarzanych w kopiach zapasowych

– mamy obowiązek usuwać dane osobowe, dla których czas przetwarzania się zakończył, ale organy nadzorcze pozwalają na pewne „złagodzenie” zasad w zakresie obowiązku usunięcia pojedynczych danych z kopii zapasowych.