przejdź
przejdź
  2. Serwis Biznesu
  3. Prowadzenie biznesu
  4. Jak poprawnie tworzyć kopie zapasowe w firmie?

Jak poprawnie tworzyć kopie zapasowe w firmie?

Nasz ekspert:
Artykuły autora

Wielkość tekstu:

Kopie zapasowe to fundament zapewniania dostępności danych. Należy bezwzględnie pamiętać o tym, że samo tworzenie backupów nie jest wystarczające – konieczne jest również m.in. cykliczne testowanie odzyskiwania danych oraz uniemożliwienie nieuprawnionego dostępu do informacji. Kluczowa rola backupów była wielokrotnie podkreślana w decyzjach Prezesa UODO, ponieważ zdolność szybkiego przywrócenia dostępności danych osobowych to jeden z obowiązków administratora. O czym powinniśmy pamiętać podczas tworzenia kopii zapasowych?

RODO a kopie zapasowe

Artykuł 32 lit. c RODO zobowiązuje administratora danych do zapewnienia zdolności szybkiego przywracania dostępności danych w przypadku incydentu – zarówno technicznego (np. cyberataku), jak i fizycznego (np. uszkodzenia sprzętu). Art. 32 lit. d podkreśla również konieczność regularnego testowania oraz mierzenia skuteczności stosowanych środków technicznych i organizacyjnych. Powyższe czynności powinny uwzględniać:

  • stan wiedzy technicznej;
  • koszt wdrażania rozwiązań;
  • charakter, zakres, kontekst i cele przetwarzania;
  • ryzyko naruszenia praw lub wolności osób fizycznych.

W praktyce bardzo często oznacza to, że administrator musi być w stanie przywrócić dostęp do danych osobowych w ramach posiadanych kopii zapasowych. W decyzji Prezesa UODO z czerwca 2024 roku (DKN.5131.57.2022) za „niezwykle istotny element dla oceny wdrożonych środków technicznych” uznano cykliczne wykonywanie kopii zapasowych baz danych z serwerów. 

Rodzaje kopii zapasowych

W praktycznych zastosowaniach wyróżnia się trzy główne typy kopii zapasowych: pełną, różnicową i przyrostową. Pierwsza z nich polega na skopiowaniu wszystkich plików z określonych lokalizacji, będąc jednocześnie fundamentem dla pozostałych rodzajów backupów.

Kopia różnicowa polega na zapisaniu danych powstałych od ostatniego pełnego backupu. Kopia przyrostowa różni się tym, że zapisywane są pliki utworzone lub zmienione od ostatniej kopii (niekoniecznie pełnej – również innej przyrostowej). Każda z nich różni się m.in. wymaganą przestrzenią dyskową oraz szybkością odtwarzania – wybór powinien być zależny od priorytetów organizacji.

Zasady tworzenia kopii zapasowych

Podstawową regułą podczas tworzenia kopii zapasowych jest zastosowanie się do zasady „3-2-1”. Oznacza to konieczność posiadania trzech kopii danych na dwóch różnych nośnikach, przy czym jedna z nich powinna być przechowywana w innej lokalizacji fizycznej (np. w innym budynku) – pozwala to zmniejszyć zagrożenie związane z ewentualnym zniszczeniem nośnika (m.in. podczas pożaru czy powodzi).

Pod kątem przeciwdziałania atakom ransomware, polegających m.in. na szyfrowaniu danych przez cyberprzestępców, warto zastosować się do rekomendacji CERT Polska z „Poradnika ransomware”. W opracowaniu podkreślono konieczność posiadania jednego odizolowanego backupu. W praktyce można to spełnić poprzez przechowywanie danych na nośniku bez dostępu do sieci lokalnej (offline) – np. dysku zewnętrznym.

Przykład 1.

Firma planuje przechowywać backupy zgodnie z zasadą „3-2-1”. W tym celu może wykorzystać serwer NAS (sieciowej pamięci masowej) do przechowywania kopii różnicowej lub przyrostowej. Pełna kopia danych może być przechowywana na zewnętrznym dysku odseparowanym od sieci, najlepiej zabezpieczona przed nieuprawnionym fizycznym dostępem lub szyfrowana – zastosowane środki będą zależne od analizy ryzyka.

Kopie zapasowe – jaki czas mają obejmować?

W artykule „Tworzenie zapasowych kopii danych” na stronie gov.pl możemy znaleźć jasne zalecenie codziennego wykonywania kopii zapasowych. Warto przy tym dodać, że częstotliwość wykonywania kopii zapasowych ma bezpośredni wpływ na naszą zdolność przywracania danych. Przykładowo – wykonując backup co tydzień, musimy liczyć się z tym, że w przypadku utraty dostępności danych produkcyjnych (np. na głównym serwerze) możemy utracić dostęp do danych z ostatnich sześciu dni.

Realnym przykładem znaczenia czasu wykonywania kopii zapasowych oraz odseparowania ich od sieci jest atak ransomware na Starostwo Powiatowe w Jędrzejowie z 2024 roku. Wówczas jeden z backupów wykonywał się codziennie, lecz był zaszyfrowany wskutek cyberataku – dane odtworzono najprawdopodobniej z kopii wykonanej niecałe trzy miesiące przed wystąpieniem incydentu.

W praktyce zalecane interwały tworzenia kopii zapasowych dla JST i MŚP można określić jako:

  • od 24 godzin do tygodnia dla kopii przyrostowych/różnicowych,
  • od tygodnia do miesiąca dla pełnych kopii zapasowych.

Wskazane przedziały czasowe zostały wyróżnione w opracowaniu amerykańskiego Narodowego Instytutu Norm i Technologii (NIST SP 800-123). Należy przy tym podkreślić, że określenie konkretnych przedziałów wynika m.in. z analizy ryzyka danej organizacji.

Testowanie odtwarzania danych

Decyzje PUODO wprost odnoszą się do konieczności zapewnienia odtwarzania danych z kopii zapasowych oraz przeprowadzania regularnych testów. W dokumencie z czerwca 2022 roku (DKN.5131.56.2021) Prezes Urzędu Ochrony Danych Osobowych stwierdza, że w ramach analizy ryzyka administrator powinien uwzględnić brak możliwości szybkiego i skutecznego odtworzenia danych z backupów. PUODO zaznaczył również testowanie prawidłowości oraz odtwarzania kopii zapasowych jako niezbędny warunek spełniania wspomnianego już art. 32 lit c RODO.

W niektórych sytuacjach określenie częstotliwości testowania odtwarzania kopii zapasowych może okazać się trudne, lecz pewne ramy przybliżają nam publicznie dostępne polityki. W jednym z załączników do przetargu ogłoszonego przez Zakład Informatyki Lasów Państwowych im. Stanisława Kostki (DZ270492021) znajduje się jasne wskazanie, że testy odtworzeniowe powinny być realizowane co najmniej raz na 6 miesięcy. W zarządzeniu nr 58/2024 Nadleśnictwa Trzcianka z października 2024 roku określono długość maksymalnego okresu między próbnym odtworzeniem danych z kopii zapasowych na 90 dni.

Kluczowe jest wybranie okresu testowania m.in. na podstawie analizy ryzyka oraz sprawdzania poprawności odtworzenia danych w praktyce, aby spełnić wymóg rozliczalności stosowanego środka technicznego (art. 5 ust. 2 RODO).

Przechowywanie kopii zapasowych

Odpowiednie przechowywanie kopii zapasowych to bardzo ważny element poprawnej ochrony informacji przed nieuprawnionym dostępem – szczególnie w sytuacji, gdy backup zawiera dane osobowe. 

W listopadzie 2024 roku Prezes UODO wydał decyzję (DKN.5130.2415.2020) dotyczącą naruszenia ochrony danych, które polegało na przypadkowym upublicznieniu kopii zapasowej bazy danych na archiwalnej stronie. W założeniu administratora danych katalog z bazą miał być ukryty, lecz został udostępniony wskutek nieprawidłowej konfiguracji środowiska informatycznego przez pracownika firmy IT. W dokumencie zaznaczono konieczność regularnego testowania, mierzenia i oceniania stosowanych środków technicznych i organizacyjnych. PUODO podkreślił również obowiązek ciągłej weryfikacji zdolności podmiotu przetwarzającego do zapewniania odpowiedniej gwarancji ochrony danych (art. 28 RODO).

W „Rekomendacjach cyberbezpieczeństwa dla podmiotów sektora ochrony zdrowia” opublikowanych przez Ministerstwo Cyfryzacji w 2020 roku znalazło się jasne zalecenie, aby kopie zapasowe były przechowywane na nośniku odseparowanym od sieci (offline), np. dysku twardym. Należy przy tym pamiętać o odpowiedniej ochronie takich nośników, zarówno od strony fizycznej (bezpiecznego przechowywania), jak i szyfrowania. W „Katalogu zabezpieczeń” Standardów Cyberbezpieczeństwa Chmur Obliczeniowych jako zabezpieczenie fizyczne kopii zapasowych wskazano wykorzystanie pojemników o odpowiedniej odporności ogniowej przy jednoczesnym przechowywaniu danych w innej lokalizacji.

Podczas szyfrowania danych powinniśmy pamiętać o odpowiednim przechowywaniu klucza dostępu (hasła), ponieważ kopia niemożliwa do odtworzenia nie zapewnia dostępności danych. Decyzja o wdrożeniu szyfrowania jest zależna od analizy ryzyka, lecz na pewno warto ją rozważyć – RCB w „Standardach służących zapewnieniu sprawnego funkcjonowania infrastruktury krytycznej” wprost zaleca szyfrowanie backupów.

W przeszłości zdarzały się incydenty związane z kradzieżami nośników danych należących do polskich podmiotów publicznych – taka sytuacja miała miejsce m.in. w Wojewódzkim Zespole do spraw Orzekania o Niepełnosprawności w Województwie Podkarpackim (luty 2025 roku). Pod koniec ubiegłego roku jedna z mazowieckich szkół poinformowała o możliwości ujawnienia „danych osobowych zapisanych na dwóch dyskach przenośnych służących do tworzenia kopii zapasowych”, co pokazuje znaczenie ochrony danych przed nieuprawnionym dostępem.

Podsumowanie

Utworzenie kopii zapasowej to dopiero początek procesu koniecznego dla zapewniania dostępności danych w razie incydentu, np. cyberataku czy pożaru. Dane z kopii zapasowych powinny być chronione przed nieuprawnionym dostępem, ponieważ zazwyczaj zawierają informacje konieczne do poprawnego funkcjonowania organizacji.

W celu spełniania obowiązku regularnego testowania wdrożonych środków ochrony danych rekomenduje się testowanie odtwarzania danych co kilka miesięcy (np. raz na kwartał lub raz na pół roku). Pamiętajmy, że przynajmniej jedna kopia danych powinna być odseparowana od sieci, aby uniknąć m.in. utraty danych w razie zaszyfrowania podczas ataku ransomware. Rekomenduje się również posiadanie jednego backupu w oddzielnej lokalizacji (np. w innym budynku).

Podstawą bezpieczeństwa kopii zapasowych jest zasada „3-2-1”, którą warto niezwłocznie wdrożyć. Utrata danych osobowych również stanowi naruszenie, zgodnie z definicją zawartą w art. 4 pkt 12 RODO.

Polecamy:

KSeF, czyli Krajowy System e-Faktur

Jak wybrać skuteczne gadżety reklamowe dla firmy?
Outsourcing funkcji reprezentacyjnych w obrocie go...
Czerwiec 2026
05
Piątek
  • Dzień ustawowo wolny od pracy
  • ZUS (spółki akcyjne, spółki z o.o., spółdzielnie, stowarzyszenia, fundacje)
  • Podatek dochodowy
  • PIT 4
  • PIT 8A
  • ZUS (jednoosobowa działalność gospodarcza, spółki: cywilne, jawne, partnerskie, kamandytowe, komandytowo-akcyjne)
  • VAT 7
  • VAT UE (elektroniczna)
Wyświetl artykuły z tego dnia
Zobacz wszystkie

Najchętniej czytane

  1. Jednoosobowa działalność gospodarcza w 2025 roku - co warto wiedzieć?
  2. Kiedy zawiesić działalność, żeby zaoszczędzić na składkach ZUS?
  3. Praca na etacie nie wyklucza prowadzenia działalności
  4. Analiza wskaźnikowa przedsiębiorstwa - wskaźniki płynności
  5. Zgłoszenie zbycia pojazdu firmowego – jakie obowiązki ma przedsiębiorca?
Zobacz wszystkie

Kalkulatory

Zobacz wszystkie kalkulatory

Wzory dokumentów

Zobacz wszystkie wzory

Prowadzenie biznesu

Outsourcing funkcji reprezentacyjnych w obrocie gospodarczym

Kalkulatory Wzory umów Wskaźniki Porady online

Patronaty

HR Workshop Week 2026: Trzy dni intensywnej praktyki dla branży HR
SEO Vibes Summit ’26 już w maju – ruszyła promocja Last Call na wszystkie bilety!
semKRK#24 BIG już 3 czerwca! Bądź z nami w Starej Zajezdni
Między faktem a fałszem: jak weryfikować rzeczywistość w cyfrowym świecie? XXVI Kongres Public Relations w Rzeszowie
Handel pod presją kosztów, regulacji i technologii. Przed nami 8. Kongres Nowoczesnej Dystrybucji Zobacz wszystkie
Artykuły
Brak wyników.
Więcej artykułów
Wzory
Brak wyników.
Więcej wzorów