Zapewnienie ciągłości przetwarzania danych osobowych w systemach informatycznych
27/06/2016
Standardy w zakresie zarządzania bezpieczeństwem systemów informatycznych wskazują na konieczność podjęcia działań o charakterze organizacyjnym i technicznym w celu zapewnienia ciągłości przetwarzania informacji na wypadek awarii lub katastrofy. Czy wymagania takie określono również w przypadku systemów informatycznych przetwarzających dane osobowe?
Wymagania w zakresie zabezpieczenia danych osobowych wynikają z art. 36 ustawy o ochronie danych osobowych. Zgodnie z powyższym administrator danych jest obowiązany m.in. do ochrony danych przed ich utratą, uszkodzeniem lub zniszczeniem. Szczegółowe wymagania dotyczące zabezpieczenia danych osobowych określono w rozporządzeniu Ministra Spraw Wewnętrznych i Administracji z dnia 29 kwietnia 2004 r. w sprawie dokumentacji przetwarzania danych osobowych oraz warunków technicznych i organizacyjnych, jakim powinny odpowiadać urządzenia i systemy informatyczne służące do przetwarzania danych osobowych, zwanym dalej w treści niniejszej opinii Rozporządzeniem.
Zarówno ustawa o ochronie danych osobowych jak i przywołane powyżej Rozporządzenie nie wskazują wprost konieczności zapewnienia ciągłości przetwarzania danych osobowych w systemach informatycznych, rozumianej jako zagwarantowanie braku przerw w procesie przetwarzania. Powyższe przepisy wskazują jednak jednoznacznie na konieczność ochrony danych przed ich uszkodzeniem i zniszczeniem, a także konieczność zapewnienia możliwości przywrócenia uszkodzonych danych do stanu umożliwiającego ich przetwarzanie. Celowi temu służy między innymi opracowanie i wdrożenie procedury „tworzenia kopii zapasowych zbiorów danych oraz programów i narzędzi programowych służących do ich przetwarzania” (§5 pkt 4 Rozporządzenia). Należy tu podkreślić, iż kopie zapasowe powinny obejmować nie tylko zbiory danych (pliki z danymi osobowymi, bazy danych), ale również oprogramowanie służące do ich przetwarzania. Wymaganie to ma w praktyce bardzo istotne znaczenie, zwłaszcza w przypadku aplikacji opracowywanych na potrzeby danej organizacji – ich utrata może skutecznie uniemożliwić pracownikom przetwarzanie danych, nie należy bowiem liczyć na to, iż będą oni w stanie pracować bezpośrednio na bazie danych.
W załączniku do Rozporządzenia wskazano również konieczność zastosowania środków zabezpieczających przed „utratą danych spowodowaną awarią zasilania lub zakłóceniami w sieci zasilającej”. Warto zwrócić uwagę na fakt, iż, zgodnie z zapisem zawartym w Rozporządzeniu, zadaniem tych Śródków nie jest (a przynajmniej nie musi być) zapewnienie ciągłości działania systemu informatycznego, lecz ochrona danych przed ich uszkodzeniem spowodowanym nagłym wyłączeniem komputera. Mówimy tu w szczególności o zastosowaniu zasilaczy awaryjnych podtrzymujących działanie komputerów do czasu bezpiecznego zakończenia ich pracy.
W elektronicznym wniosku służącym do rejestracji zbiorów danych osobowych, znajdującym się w serwisie internetowym egiodo.giodo.gov.pl wskazano z kolei inne środki ochrony dostępności danych osobowych, takie jak macierze dyskowe, przechowywanie kopii zapasowych poza pomieszczeniem z serwerami czy zastosowanie dodatkowych środków bezpieczeństwa w zakresie zasilania, takich jak generator prądu czy wydzielona sieć elektroenergetyczna.
Podsumowując – ustawodawca nałożył na administratorów danych obowiązek ich zabezpieczenia przed uszkodzeniem lub zniszczeniem. Nie wskazał jednak wprost konieczności opracowania planów ciągłości przetwarzania danych osobowych. Plany takie mogą jednak wynikać z potrzeb biznesowych organizacji lub z konieczności dotrzymania terminów, w tym narzuconych szczególnymi przepisami prawa. Warto jednak zauważyć, iż działania odtworzeniowe, mające na celu przywrócenie danych osobowych i środowiska informatycznego, w jakim są one przetwarzane, są jednoznacznie związane z przywołanymi powyżej procedurami tworzenia kopii zapasowych, określając sposób ich wykorzystania w przypadku wystąpienia awarii.
Adam Gałach
certyfikowany auditor ISO 22301, ISO/IEC 27001, CISSP, CRISC