Szyfruj kopie zapasowe. Polska szkoła informuje o naruszeniu

„Naruszenie poufności danych osobowych polegało na możliwości ujawnienia w dniu 17 listopada 2025 r. przez pracownika szkoły, niepodlegających udostępnieniu danych osobowych zapisanych na dwóch dyskach przenośnych służących do tworzenia kopii zapasowych” – czytamy w zawiadomieniu opublikowanym przez SP7 im. Batalionu „Zośka” z Oddziałami Integracyjnymi w Otwocku.

Zakres danych związany był z dziennikiem elektronicznym i obejmował:

• imiona i nazwiska (uczniów – przyp. red.);
• imiona rodziców;
• datę urodzenia dziecka;
• adres zamieszkania lub pobytu;
• adres e-mail;
• dane dot. zdrowia w zakresie opinii psychologicznych.

Odpowiedzialne podejście i przeciwdziałanie

Warto przy tym podkreślić, że wbrew pozorom opublikowanie ww. komunikatu pokazuje dojrzałość placówki pod kątem ochrony danych – administrator uznał, że sama możliwość ujawnienia danych stanowi naruszenie poufności. Wiadomo również, że zdarzenie zostało zgłoszone do organu nadzorczego (UODO).

Artykuł 32 ust. 1 lit. a RODO wskazuje „pseudonimizację i szyfrowanie danych osobowych” jako przykład środków stosowanych w celu zapewnienia odpowiedniego stopnia bezpieczeństwa do określonego ryzyka. Decyzje PUODO pokazują, że szyfrowanie nośników danych jest niezwykle ważne – w 2024 r. jedna z polskich firm otrzymała 240 tys. złotych kary za zgubienie przez pracownika pendrive’a z nieszyfrowanymi danymi osobowymi.

Kopie zapasowe a usuwanie danych

Niedawno UODO opublikowało również ważne zalecenia pod kątem ochrony danych osobowych w kopiach zapasowych – szczególnie w przypadku tzw. „prawa do bycia zapomnianym”, czyli usunięcia przetwarzanych danych przez administratora na wniosek osoby fizycznej, co opisuje art. 17 RODO.

„Administrator nie może odmawiać zrealizowania przysługującego każdemu z nas prawa do usunięcia danych osobowych, jeśli to żądanie ma uzasadnienie w przepisach prawa. Dane musi usunąć również z kopii zapasowych systemów informatycznych. Dlatego ważne jest, aby korzystać z takich systemów do tworzenia kopii zapasowych, by móc wywiązać się z tego obowiązku” – przekazał Urząd w listopadowym biuletynie.

Według UODO, administrator jest zobowiązany do tej czynności nawet w sytuacji, gdy odtwarzanie jest czasochłonne. Jest to ważne pod kątem praktycznego odtwarzania kopii zapasowych.

Szyfrować, szyfrować i jeszcze raz szyfrować

Rolę szyfrowania bardzo dobrze oddaje poradnik pt. „Obowiązki administratorów związane z naruszeniami ochrony danych osobowych”, opublikowany przez UODO w maju 2019 roku. W opracowaniu zawarto następujący przykład:

Administrator traci bezpiecznie zaszyfrowany pendrive (zgodnie z aktualnym stanem wiedzy technicznej). Klucz szyfrowania pozostaje w posiadaniu administratora i nie jest to jedyna kopia danych osobowych. W takiej sytuacji dane pozostają niedostępne dla złodzieja. Oznacza to małe prawdopodobieństwo, by naruszenie stanowiło zagrożenie dla praw lub wolności osób, których dane dotyczą
UODO

Jednocześnie warto pamiętać o tym, że nawet czasowa utrata dostępności do danych również może stanowić naruszenie ochrony. Jeśli nie wiemy, czy warto zgłosić określone zdarzenie, UODO przekazało następujące stanowisko w ww. poradniku:

W przypadku jakichkolwiek wątpliwości administrator powinien zgłosić naruszenie, nawet jeśli taka ostrożność mogłaby się okazać nadmierna.
UODO

Pamiętajmy również o tym, że kopie zapasowe powinny być przechowywane w sposób, który uniemożliwi ich zaszyfrowanie. Taka sytuacja miała miejsce m.in. podczas ataku ransomware na Starostwo Powiatowe w Jędrzejowie w ubiegłym roku, przez co najprawdopodobniej odtworzono pliki z kopii wykonywanej kwartalnie zamiast comiesięcznego backupu.

Osoby, które chcą się z nami anonimowo skontaktować, zapraszamy do  formularza w zakładce „Kontakt” (u dołu strony). Przypominamy, że na bazie art. 5 oraz art. 15 Prawa Prasowego, każdy może udzielać informacji bez podawania swojej tożsamości.