„Czy backup danych osobowych jest legalny?" To jedno z najczęściej zadawanych pytań przez Inspektorów Ochrony Danych i właścicieli firm. Odpowiedź brzmi: tak, ale pod ścisłymi warunkami. RODO nie zakazuje tworzenia kopii zapasowych. Wręcz przeciwnie – Art. 32 ust. 1 lit. c) RODO wymaga wdrożenia „zdolności do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego". Backup jest więc nie tylko dozwolony, ale wręcz wymagany prawnie. Problem pojawia się, gdy firmy traktują kopie jako „magazyn wszystkiego bez końca", ignorując zasady minimalizacji, limitów czasu przechowywania i praw osób, których dane dotyczą. W tym artykule przeprowadzimy Cię przez praktyczne aspekty zgodności backupu z RODO, omówimy politykę retencji, prawo do bycia zapomnianym i szyfrowanie. Jeśli szukasz narzędzia, które pomoże Ci zdefiniować bezpieczne parametry retencji i harmonogramy, skorzystaj z naszego Kreatora Procedury Backupu.
Jakie dane osobowe trafiają do backupu?
W praktycznie każdej firmie backup zawiera dane osobowe. Nawet jeśli nie prowadzisz systemu HR, w środowisku IT znajdują się:
- Bazy CRM i mailingowe: Imiona, nazwiska, adresy e-mail, numery telefonów, historie zakupów.
- Poczta e-mail i załączniki: Korespondencja biznesowa często zawiera dane klientów, faktury z NIP-em i adresem, umowy z podpisami.
- Systemy księgowe i kadrowe: PESEL, numery kont bankowych, wynagrodzenia, dane adresowe pracowników i kontrahentów.
- Logi systemowe i monitoring: Adresy IP, godziny logowań, nagrania z kamer (jeśli backupowane).
Kluczowa zasada RODO: backupujesz to, co jest niezbędne do działania firmy. Kopiowanie „wszystkiego na wszelki wypadek" łamie Art. 5 ust. 1 lit. c) RODO (minimalizacja danych). Przed konfiguracją harmonogramu wykonaj audyt zawartości. Zidentyfikuj, gdzie leżą dane wrażliwe, i wyłącz je z backupu, jeśli nie są krytyczne biznesowo lub prawnie.
Polityka retencji – jak długo można przechowywać kopie?
RODO nie narzuca sztywnego terminu przechowywania backupu. Wymaga jednak, by dane były przechowywane „nie dłużej, niż jest to niezbędne do celów, w których są przetwarzane". Oznacza to, że musisz zdefiniować politykę retencji powiązaną z podstawą prawną i obowiązującymi przepisami szczególnymi.
| Rodzaj danych | Podstawa prawna / Cel | Zalecana retencja backupu |
|---|---|---|
| Dane księgowe i faktury | Ordynacja podatkowa (art. 86) | 5 lat od końca roku podatkowego |
| Dane kadrowe i płacowe | Kodeks pracy | 10 lat (umowy o pracę), 50 lat (akta osobowe) |
| Dane klientów (CRM/Marketing) | Zgoda / Prawnie uzasadniony interes | Do cofnięcia zgody lub 3 lata od ostatniego kontaktu |
| Logi systemowe / Monitoring | Bezpieczeństwo IT | 30-90 dni, następnie anonimizacja lub usunięcie |
| Kopie operacyjne (codzienne) | Ciągłość działania | 14-30 dni (cykl rotacyjny) |
Po upływie terminu retencji, dane muszą zostać trwale usunięte nie tylko z systemów produkcyjnych, ale także z archiwów backupu. W praktyce oznacza to, że software do backupu musi wspierać automatyczne wygaszanie kopii (lifecycle management). Ręczne kasowanie starych nośników jest błędem procesowym.
„Prawo do bycia zapomnianym nie zwalnia z obowiązku backupu, ale wymusza mechanizmy selektywnego przywracania lub anonimizacji. Backup, którego nie można wyczyścić z pojedynczego rekordu, jest ryzykiem compliance." — Stanowisko Prezesa Urzędu Ochrony Danych Osobowych, 2025
Prawo do bycia zapomnianym a backup – co zrobić w praktyce?
Gdy klient zgłasza żądanie usunięcia danych (Art. 17 RODO), firma ma 30 dni na realizację. Problem: dane mogą już istnieć w backupie sprzed miesiąca. Jak postępować zgodnie z prawem?
- Natychmiastowe usunięcie z systemów produkcyjnych: CRM, bazy SQL, skrzynki mailowe, arkusze kalkulacyjne.
- Zablokowanie dostępu w backupie: Oznaczenie rekordu jako „do usunięcia" w momencie przywracania. Wiele nowoczesnych systemów backupu (np. Veeam, Commvault) pozwala na „search & delete" lub flagowanie danych.
- Uzasadnienie techniczne: Jeśli techniczne usunięcie z immutable backup jest niemożliwe bez naruszenia integralności kopii, RODO dopuszcza pozostawienie danych, pod warunkiem ograniczenia ich przetwarzania (Art. 18) i zapewnienia, że nie zostaną użyte do celów komercyjnych ani nie wycieknie.
- Dokumentacja: Zapisanie w rejestrze czynności przetwarzania, że żądanie zostało zrealizowane w systemach aktywnych, a w backupie dane zostaną usunięte automatycznie przy najbliższym cyklu rotacji.
Kluczem jest transparentność wobec organu nadzorczego i osoby zgłaszającej. Więcej na temat technicznych aspektów separacji danych znajdziesz w artykule o rodzajach kopii zapasowych.
Szyfrowanie backupu jako wymóg RODO
Art. 32 RODO wprost mówi o „pseudonimizacji i szyfrowaniu danych osobowych". Dla backupu oznacza to dwa poziomy ochrony:
- Szyfrowanie w spoczynku (at rest): Dane na dyskach, taśmach i w chmurze muszą być zaszyfrowane. Standard: AES-256. Klucze powinny być zarządzane osobno od nośników (np. AWS KMS, HashiCorp Vault).
- Szyfrowanie w tranzycie (in transit): Przesyłanie kopii między serwerem a chmurą/NAS-em musi odbywać się przez TLS 1.3 lub SSH.
Brak szyfrowania to naruszenie RODO w przypadku utraty nośnika. Jeśli ukradną dysk USB z nieszyfrowanym backupem zawierającym dane klientów, masz 72 godziny na zgłoszenie incydentu do UODO i powiadomienie osób dotkniętych. Koszty takiego zdarzenia (kary, odszkodowania, utrata reputacji) wielokrotnie przewyższają koszt wdrożenia szyfrowania.
Outsourcing IT a backup danych osobowych
Większość MŚP w Warszawie nie zarządza backupem samodzielnie. Korzysta z firm zewnętrznych. Z punktu widzenia RODO, zewnętrzne IT to powiernik danych. Wymaga to:
- Podpisania umowy powierzenia przetwarzania danych (Art. 28 RODO).
- Określenia w umowie, gdzie fizycznie przechowywane są kopie (UE/EOG? Cloud Act?).
- Zapewnienia prawa do audytu dostawcy.
- Gwarancji, że dostawca nie wykorzystuje danych do własnych celów (np. trenowania AI).
Jeśli Twoja firma planuje audyt zgodności, zacznij od inwentaryzacji dostawców. Sprawdź, czy backup wykonywany przez zewnętrzną firmę spełnia wymogi szyfrowania, retencji i testów. Nasz Kreator Procedury Backupu pomaga zdefiniować te parametry w formie gotowego dokumentu DRP, który możesz załączyć do umowy z dostawcą. Pamiętaj, że zgodność z RODO i NIS2 to proces ciągły. Regularne przeglądy polityk i aktualizacja procedur to jedyna droga do trwałego compliance.
