RODO, prawo do bycia zapomnianym a systemy backupu

Jak już Państwo zapewne doskonale wiecie, w dniu 25 maja 2018r. wchodzą w życie nowe przepisy o ochronie danych osobowych – tzw. RODO. Jedną ze zdefiniowanych w rozporządzeniu nowości jest przysługujące osobom, których dane przetwarzamy prawo do „bycia zapomnianym”. Definiuje je artykuł 17 RODO, którego treść jest następująca:

Artykuł 17

Prawo do usunięcia danych („prawo do bycia zapomnianym”)
1. Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki usunąć dane osobowe, jeżeli zachodzi jedna z następujących okoliczności:
a) dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane;
b) osoba, której dane dotyczą, cofnęła zgodę, na której opiera się przetwarzanie zgodnie z art. 6 ust. 1 lit. a) lub art. 9 ust. 2 lit. a), i nie ma innej podstawy prawnej przetwarzania;
c) osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 1 wobec przetwarzania i nie występują nadrzędne prawnie uzasadnione podstawy przetwarzania lub osoba, której dane dotyczą, wnosi sprzeciw na mocy art. 21 ust. 2 wobec przetwarzania;
d) dane osobowe były przetwarzane niezgodnie z prawem;
e) dane osobowe muszą zostać usunięte w celu wywiązania się z obowiązku prawnego przewidzianego w prawie Unii lub prawie państwa członkowskiego, któremu podlega administrator;
f) dane osobowe zostały zebrane w związku z oferowaniem usług społeczeństwa informacyjnego, o których mowa w art. 8 ust. 1.

Żądanie klienta, które z pozoru wydaje się proste do zrealizowania budzi jednak pewne wątpliwości. Administratorzy systemów backupu zwracają bowiem uwagę na fakt, że usunięcie pojedynczego rekordu danych osobowych z kopii archiwalnej, która jest przechowywana na zewnętrznym nośniku, czasem w zewnętrznej lokalizacji i z zastosowaniem np. mechanizmów kryptograficznych nie jest wcale zadaniem banalnym do zrealizowania. W takiej sytuacji konieczne jest odtworzenie systemów z backupu, usunięcie z nich danych konkretnej osoby i ponowne zarchiwizowanie. Na wszystkie te działania potrzebne nam będą dodatkowe zasoby, czas i dostępność infrastruktury wykorzystywanej do backupu. Co więcej, dane dotyczące jednej osoby mogą występować w wielu systemach informatycznych, np. kadrowym, finansowym, pocztowym, a także w aplikacjach użytkowych wykorzystywanych na potrzeby biznesowe. To wszystko mocno komplikuje nam możliwość spełnienia żądań związanych z prawem do „bycia zapomnianym”.

Jak sobie zatem poradzić w tej trudnej sytuacji? Niestety producenci oprogramowania do backupu nie wychodzą jeszcze na przeciw nowym potrzebom rynku. O ile istnieją już rozwiązania pozwalające na odtwarzanie z backupów pojedynczych plików, maili czy nawet zapytań SQL (np. Veeam), o tyle niestety ich edycja w formie zarchiwizowanej nie jest możliwa. W takie sytuacji stajemy przed potrzebą przeglądu i być może modyfikacji naszych procedur backupu. Warto przy najbliższe zmianie lub wyborze nowego rozwiązania zwrócić uwagę na funkcjonalność dającą możliwość sprawnego odtworzenia, zmodyfikowania i ponownego zarchiwizowania danych. W procesie planowania procedur na pewno powinniśmy wziąć pod uwagę fakt, że backupy wielopoziomowe, przyrostowe czy różnicowe wiążą się z koniecznością przeprowadzenia dodatkowych kroków.

Producenci systemów do backupu mają tutaj duże pole do popisu. Uznanie rynku na pewno zdobędzie ten, kto jako pierwszy zaoferuje funkcjonalności takie, jak np.:

• Możliwość edycji zarchiwizowanych baz danych przy pomocy agentów obsługujących zapytania SQL
• Możliwość edycji na poziomie pojedynczych skrzynek pocztowych, a nawet wiadomości e-mail w archiwach Exchange
• Możliwość modyfikacji zarchiwizowanej bazy usług katalogowych (np. Active Directory)

To tylko część z przydatnych funkcjonalności, które mogą nam ułatwić stosowanie się do wymogów RODO.

Co jednak do czasu gdy takie rozwiązania pojawią się w ofercie? Jedynym sensownym pomysłem, z jakim dotychczas się spotkałem jest stworzenie „rejestru zapomnień”, czyli listy osób, których dane zostały usunięte z systemów produkcyjnych ale nadal pozostają w kopiach backupowych lub archiwalnych. Procedury odtworzeniowe powinny obligować operatorów backupu do tego, by w przypadku przywracania danych pierwszym krokiem po ich odzyskaniu było zweryfikowanie owej listy i usunięcie wszystkich danych z przywróconego zasobu. Aby uniknąć zastrzeżeń dotyczących faktu, że taki rejest sam w sobie jest również zbiorem danych osobowych warto posłużyć się w nim jakimś identyfikatorem z docelowego systemu – np. ID użytkownika w bazie danych, numer konta w systemie lub identyfikator SAM w Active Directory.

Do czasu pojawienia się lepszego pomysłu, przepisów wykonawczych do RODO lub nowej funkcjonalności w systemach backupu będzie to zapewne najczęściej stosowane podejście.