RODO a dokumentacja backupów – czy każdy środek bezpieczeństwa musi być spisany?
ODPOWIEDŹ
Tak, wszystkie środki bezpieczeństwa wdrożone w organizacji – w tym np. tworzenie kopii zapasowych – powinny być odpowiednio udokumentowane.
Zgodnie z zasadą rozliczalności wynikającą z RODO (art. 5 ust. 2), administrator danych musi być w stanie wykazać zgodność z przepisami, w tym także z art. 32 RODO dotyczącym bezpieczeństwa przetwarzania danych.
Dokumentacja stosowanych środków technicznych i organizacyjnych, takich jak backupy, szyfrowanie, kontrola dostępu czy monitorowanie systemów, jest kluczowa podczas kontroli organu nadzorczego.
Brak dokumentacji może zostać uznany za brak wdrożenia odpowiednich środków, nawet jeśli faktycznie funkcjonują one w praktyce.