Odzyskiwanie danych to proces, który wielu użytkownikom komputerów i firmom kojarzy się głównie z techniczną stroną działania: laboratorium, analiza uszkodzonego nośnika, odzyskanie plików, zwrot materiału. Rzadziej jednak zastanawiamy się, co dzieje się z tymi danymi później. Kto ma do nich dostęp? Czy są kasowane od razu po zrealizowaniu usługi? Czy można żądać ich zniszczenia? I najważniejsze: kto ponosi odpowiedzialność za ich bezpieczeństwo po zakończonym zleceniu? Te pytania stają się coraz ważniejsze w czasach, gdy dane są jednym z najcenniejszych zasobów cyfrowego świata. W tym artykule przyjrzymy się obowiązkom firm IT odzyskujących dane i temu, jak świadomy klient może się przed ich zaniedbaniem zabezpieczyć.
Gdzie kończy się usługa, a zaczyna odpowiedzialność?
Wielu usługodawców traktuje odzyskiwanie danych jako jednorazową transakcję: klient dostarcza nośnik, płaci, otrzymuje odzyskane pliki, a temat się kończy. Jednak z punktu widzenia prawa – i etyki – sprawa nie jest tak prosta. Nawet tymczasowy dostęp do czyichś danych wymaga odpowiedniego zabezpieczenia, protokołowania i zniszczenia po zakończeniu usługi.
Zgodnie z RODO, firma IT wykonująca usługę odzyskiwania danych działa jako procesor danych – co oznacza, że ponosi odpowiedzialność za sposób, w jaki dane są przetwarzane, przechowywane i usuwane. Nawet jeśli klient nie zawarł formalnej umowy powierzenia przetwarzania, obowiązki wynikają z charakteru usługi.
Odpowiedzialność ta obejmuje m.in.:
– zabezpieczenie fizyczne i logiczne danych,
– ograniczenie dostępu tylko do osób uprawnionych,
– pełną poufność przetwarzania,
– trwałe usunięcie kopii roboczych po zakończeniu usługi,
– możliwość wykazania, że dane nie zostały wykorzystane w sposób niezgodny z prawem.
Kto ma dostęp do odzyskanych danych?
To pytanie powinno paść już na etapie wyboru wykonawcy. Profesjonalna firma odzyskująca dane powinna jasno określić:
– kto konkretnie ma dostęp do odzyskanych plików,
– czy dane są zapisywane na nośnikach firmowych, czy dostarczonych przez klienta,
– jak długo są przechowywane po zakończeniu procesu,
– czy są szyfrowane i zabezpieczone hasłem,
– jakie procedury obowiązują w przypadku awarii, kradzieży, pożaru czy ataku hakerskiego.
Brak takich informacji powinien być dla klienta sygnałem ostrzegawczym. Dostęp do danych osobowych, finansowych czy biznesowych bez żadnych reguł to ryzyko, którego nie warto podejmować.
Czy dane mogą być kopiowane?
To jeden z najwrażliwszych aspektów procesu odzyskiwania danych. Czasem – ze względów technicznych – konieczne jest wykonanie kopii roboczej całego obrazu dysku. Taki obraz pozwala przeprowadzać operacje odzyskiwania bez ryzyka dalszego uszkodzenia oryginału. Problem pojawia się wtedy, gdy kopia zostaje zachowana po zakończeniu zlecenia – lub, co gorsza, przechowywana bez zabezpieczeń.
Profesjonalna firma:
– informuje klienta o wykonaniu kopii,
– przekazuje ją na życzenie,
– niszczy niezwłocznie po zakończeniu usługi (np. po 7 dniach),
– dokumentuje proces usuwania danych.
To kwestia zaufania, ale i wymóg prawny. Każde przetwarzanie danych – także tymczasowe – musi być zgodne z zasadą minimalizacji i ograniczenia celu.
Więcej o tym, jakie standardy etyczne powinny obowiązywać w branży odzyskiwania danych, przeczytasz tutaj: https://www.webinside.pl/etyka-w-odzyskiwaniu-danych-co-powinienes-wiedziec/
To materiał, który pokazuje praktyczne konsekwencje zaniechań i opisuje dobre praktyki.
Co jeśli dojdzie do wycieku?
W przypadku naruszenia bezpieczeństwa danych po stronie usługodawcy, obowiązek zgłoszenia takiego incydentu leży po jego stronie – o ile działał jako przetwarzający dane na mocy umowy. Jednak jeśli taka umowa nie została zawarta, a klient nie zabezpieczył się żadnymi zapisami o poufności, sytuacja staje się bardziej złożona.
Niemniej w świetle prawa cywilnego i karnego firma IT może ponosić odpowiedzialność za:
– niedopełnienie obowiązku ochrony informacji,
– umożliwienie dostępu osobom nieuprawnionym,
– brak dokumentacji przetwarzania,
– niezgłoszenie naruszenia odpowiednim organom.
W przypadku firm publicznych lub przetwarzających dane wrażliwe (np. zdrowotne, bankowe, kadrowe), ryzyko kar i roszczeń rośnie wielokrotnie.
Jak klient może się zabezpieczyć?
Niezależnie od renomy firmy wykonującej usługę, zawsze warto:
– podpisywać umowę powierzenia przetwarzania danych,
– żądać protokołu usunięcia danych po realizacji usługi,
– zlecać odzyskiwanie tylko na dostarczonym przez klienta nośniku,
– unikać wysyłania danych kurierem bez szyfrowania,
– wybierać firmy, które posiadają politykę bezpieczeństwa i kodeks etyki.
Pamiętaj, że to klient ostatecznie odpowiada za dane swoich klientów, pracowników czy kontrahentów – nawet jeśli zawiodła firma trzecia.
Czy obowiązki kończą się po zleceniu?
Z formalnego punktu widzenia – tak, ale tylko jeśli dane zostały prawidłowo zwrócone i usunięte. Z etycznego – odpowiedzialność trwa znacznie dłużej. Profesjonalna firma IT powinna:
– okresowo audytować swoje procedury,
– szkolić personel z zakresu etycznego przetwarzania danych,
– weryfikować nowe typy zagrożeń (np. AI do odzyskiwania usuniętych plików),
– udostępniać klientowi zasady przetwarzania danych w sposób zrozumiały i transparentny.
Branża IT, jak każda dziedzina usług opartych na zaufaniu, wymaga nie tylko kompetencji, ale i odpowiedzialności.
Podsumowanie: dane to nie pliki – to odpowiedzialność
Odzyskiwanie danych to nie tylko technologia. To działanie, które niesie za sobą realne konsekwencje – prawne, biznesowe i etyczne. Klient, który powierza firmie swoje dane, ma prawo oczekiwać, że będą one chronione jak najcenniejszy skarb. Firma, która się tym zajmuje, ma obowiązek je chronić – nie tylko zgodnie z literą prawa, ale i w duchu odpowiedzialności za cudze informacje.
Artykuł sponsorowany.
