CRN W kontekście RODO ludzie najbardziej boją się wycieków danych, bo grożą za to największe kary. A z historii wiemy, że wiele ataków przypuszczonych zostało na kopie backupowe. To właśnie backup jest najsłabszym ogniwem, bo z reguły w jednym miejscu zgromadzone są wszystkie informacje, ma do nich dostęp jeden administrator, a oprócz tego często przechowywane są na nośnikach zewnętrznych, i to w postaci niezaszyfrowanej – wystarczy taki nośnik po prostu schować do kieszeni i wyjść z firmy… Czy uważacie, że backup może znacznie zwiększać ryzyko, jeśli chodzi o RODO?


Piotr Nogaś, HPE Zdecydowanie tak, stworzenie schematów ochrony danych zgodnych z RODO można rozwiązać na bardzo różne sposoby. Nie da się udzielić jednoznacznej odpowiedzi na pytanie, czy stosowana już procedura backupowa jest zgodna z RODO, bez przeprowadzenia szczegółowej analizy. Natomiast uważam, że możliwe jest, przy współpracy z prawnikami, zaprojektowanie szablonów, ułatwiających podejmowanie świadomych decyzji, zapewniających firmom wykazanie należytej staranności – wymaga to połączenia praktycznej wiedzy z obu dziedzin: IT oraz prawa.


Mirosław Chełmecki, Veracomp Czy jest możliwe stworzenie przez producentów jakiejś checklisty do swoich produktów, która mówiłaby, jaka funkcja umożliwi spełnienie wymogów konkretnych zapisów rozporządzenia?


Piotr Nogaś, HPE Raczej nie, z zasady lista byłaby ogólna i bez powiązania z rzeczywistym modelem przetwarzania danych specyficznym dla każdej firmy. Stworzenie czegoś na wzór checklist, będzie możliwe po pierwszych nałożonych karach lub wydanych interpretacjach/zaleceniach w celu aktualizacji polityk pod kątem bieżącej linii orzecznictwa. Jak ważna jest praktyka ilustruje przykład: dla kopii zapasowych można zastosować art. 11 z RODO, ograniczając zakres dostosowania bieżących procesów i procedur backupu wyłącznie do bezpieczeństwa: praw dostępu, szyfrowania danych, monitorowania zdarzeń. Jest to możliwe w przypadku, jeśli procedury firmy ograniczają przywracanie po awarii wyłącznie do całych środowisk – w takim przypadku nie zachodzi przetwarzanie informacji osobowych. W warstwie aplikacyjnej, jednak należy zapewnić uspójnienie odtworzonych danych ze stanem faktycznym pod kątem RODO, na przykład ze zrealizowanym „żądaniem zapomnienia” nieuwzględnionym w kopii zapasowej. Wymóg ten jest jednak obligatoryjny i zawsze wymusza zmiany procedur przywracania systemów przetwarzania.


Krystian Hofman, Arcserve Kiedyś mówiło się, że najlepszym klientem na system backupowy był ten, który stracił dane. Dziś można powiedzieć, że najlepszym klientem na usługi zabezpieczania danych zgodnie z RODO będzie ten, kto zapłaci karę. Jeśli tylko to przeżyje…