Jak wynika z RODO (art. 5 ust. 1 lit. f) Administrator Danych Osobowych (ADO), w ramach obowiązku ewidencjonowania prowadzonych działań oraz stosowania środków technicznych i organizacyjnych dla bezpiecznego przetwarzania danych osobowych, musi też wprowadzić rozwiązania na wypadek awarii systemu informatycznego, kiedy dane osobowe zostaną utracone, zniekształcone etc. Z tego też powodu w większości firm wprowadza się formalne procedury tworzenia kopii zapasowych. W niektórych przypadkach stanowią one element wprowadzanych w firmie Polityk bezpieczeństwa.
Zaleca się, aby w “Polityce” zostały zamieszczone jedynie ogólne ramy sposobu realizacji procedury tzw. back-upów, zaś szczegółowe warunki powinny być uregulowane w odrębnym dokumencie, do którego dostęp powinny mieć wyłącznie upoważnione przez ADO osoby. Wynika to z faktu, że tego rodzaju dokumenty zawierają informacje na temat całości funkcjonowania przedsiębiorcy w tym stosowanych przez niego m.in. środków bezpieczeństwa i zasad przetwarzania wszystkich danych w firmie, nie tylko danych osobowych, procedur podejmowanych w przypadku zatrzymania pracy systemu lub niekontrolowanej jego modyfikacji, przejęcia, zniekształcenia lub usunięcie danych w nim zawartych, poprzez np. ominięcie zastosowanych zabezpieczeń albo nadpisanie programu.
Niektórym może się to wydawać się dziwne, biorąc pod uwagę obowiązku ADO w zakresie, zapoznania swojej kadry z zasadami przetwarzania danych osobowych.
Jednak w tym przypadku obowiązek informacyjny stoi niżej niż ochrona interesów firmy. Dowodzi to, że RODO prowokuje sytuacje, w których dochodzi do rywalizacji różnych interesów. Dlatego warto myśleć i pytać.
Komentarze