Usuwanie danych z kopii zapasowych systemów informatycznych

Administrator nie może odmawiać zrealizowania przysługującego każdemu z nas prawa do usunięcia danych osobowych, jeśli to żądanie ma uzasadnienie w przepisach prawa. Dane musi usunąć również z kopii zapasowych systemów informatycznych. Dlatego ważne jest, aby korzystać z takich systemów do tworzenia kopii zapasowych, by móc wywiązać się z tego obowiązku.

W ostatnim czasie osoba pełniąca funkcję inspektora ochrony danych (IOD) zwróciła się do UODO z prośbą o przedstawienie stanowiska w zakresie dopuszczalnego sposobu postępowania z kopiami zapasowymi systemów informatycznych, zawierającymi dane osobowe, w przypadku realizacji prawa do usunięcia danych zgodnie z art. 17 RODO.

Jak wskazała, w dostępnych publicznie materiałach można znaleźć odmienne podejścia do tej kwestii – niektóre nakazują niezwłoczne usuwanie danych, inne dopuszczają przechowywanie danych w kopii zapasowej do czasu jej nadpisania lub usunięcia przy założeniu, że kopia taka zostaje „wyłączona z przetwarzania”, czyli dane nie są wykorzystywane w żadnym celu poza ewentualnym przywróceniem systemu w sytuacji awaryjnej.

W odpowiedzi UODO wskazał, że wśród wymienionych w RODO środków technicznych i organizacyjnych, które mają być wdrażane w celu zapewnienia bezpieczeństwa przetwarzania danych osobowych, znajduje się zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego (art. 32 ust. 1 lit. c). Jednym z najprostszych sposobów wypełnienia tego obowiązku jest tworzenie kopii zapasowych przetwarzanych danych osobowych (tzw. backup).

Biorąc pod uwagę fakt, że kopia zapasowa jest niczym innym, jak formą przechowywania, a więc przetwarzania danych osobowych (stosownie do art. 4 ust. 2 RODO), zastosowanie do niej znajdują wszystkie określone w RODO zasady postępowania z danymi osobowymi.

Administrator powinien korzystać z systemu do tworzenia kopii zapasowych zbudowanego zgodnie z zasadą ochrony danych osobowych w fazie projektowania (art. 25 ust. 1 RODO). System ten powinien umożliwiać realizację praw osób, których dane dotyczą, w tym usuwanie danych. Takie zobowiązanie wynika z ciążącego na administratorze obowiązku wdrożenia odpowiednich środków technicznych i organizacyjnych, aby przetwarzanie odbywało się zgodnie z RODO i aby móc to wykazać (art. 24 ust. 1 RODO).

Osoba, której dane dotyczą, ma prawo żądania od administratora niezwłocznego usunięcia dotyczących jej danych osobowych, a administrator ma obowiązek bez zbędnej zwłoki je usunąć, jeżeli zachodzi jedna z okoliczności wskazanych w art. 17 ust. 1 RODO (np. dane osobowe były przetwarzane niezgodnie z prawem, dane osobowe nie są już niezbędne do celów, w których zostały zebrane lub w inny sposób przetwarzane), a administrator nie może powołać się na jedną z przesłanek wskazanych w art. 17 ust. 3 RODO.

Zgodnie z tym przepisem prawo do usunięcia danych nie będzie realizowane w przypadku, gdy przetwarzanie jest niezbędne:

a) do korzystania z prawa do wolności wypowiedzi i informacji;

b) do wywiązania się z prawnego obowiązku wymagającego przetwarzania na mocy prawa Unii lub prawa państwa członkowskiego, któremu podlega administrator, lub do wykonania zadania realizowanego w interesie publicznym, lub w ramach sprawowania władzy publicznej powierzonej administratorowi;

c) z uwagi na względy interesu publicznego w dziedzinie zdrowia publicznego zgodnie z art. 9 ust. 2 lit. h) oraz i) i art. 9 ust. 3;

d) do celów archiwalnych w interesie publicznym, do celów badań naukowych lub historycznych lub do celów statystycznych zgodnie z art. 89 ust. 1, o ile prawdopodobne jest, że prawo, o którym mowa w ust. 1, uniemożliwi lub poważnie utrudni realizację celów takiego przetwarzania; lub

e) do ustalenia, dochodzenia lub obrony roszczeń.

Wśród wskazanych przyczyn odmowy realizacji prawa do usunięcia danych osobowych nie został wskazany brak możliwości usunięcia pojedynczych rekordów (zawierających dane osobowe), np. z kopii zapasowej utworzonej w celu zapewnienia bezpieczeństwa i ciągłości przetwarzanych już danych osobowych.
Zatem jeżeli administrator rozpatrując żądanie, nie może powołać się na którąś z przesłanek wskazanych w art. 17 ust. 3 RODO, powinien bez zbędnej zwłoki usunąć dane osobowe, również z kopii zapasowych, ponieważ nie ma już podstawy prawnej do przetwarzania danych osobowych, których dotyczy żądanie usunięcia.

Powyższe stanowisko organu nadzorczego jest zatem zbieżne ze wskazówkami Ministerstwa Cyfryzacji zawartymi w materiale pt. „RODO – Informator”, w którym na str. 6 wskazano: „Jeżeli usuwanie z kopii zapasowych pojedynczych rekordów grozi naruszeniem integralności pozostałych gromadzonych danych, to administrator może manualnie przywracać kopie do bazy głównej, a następnie usuwać z nich pojedyncze rekordy i backupować bazy zmniejszone o ten rekord, choć jest to dość czasochłonny proces”. Reasumując, administrator nie może odmawiać nam zrealizowania żądania usunięcia naszych danych osobowych (np. ze względu na to, że jest to czasochłonne), jeśli nasze żądanie ma uzasadnienie w przepisach prawa