GDPR și backup: ce obligații concrete are firma ta față de protecția datelor

GDPR nu vorbește explicit despre „backup" ca termen tehnic — și tocmai de aceea mulți antreprenori cred că nu li se aplică. Greșit. Regulamentul impune o serie de obligații care, în practică, se traduc direct în necesitatea unui sistem de backup funcțional și documentat.

Ce spune GDPR despre disponibilitatea datelor

Articolul 32 din GDPR cere operatorilor de date să implementeze măsuri tehnice care să asigure:

• Confidențialitatea și integritatea datelor personale în mod continuu
• Disponibilitatea și reziliența sistemelor și serviciilor de prelucrare
• Capacitatea de a restabili disponibilitatea datelor în timp util în caz de incident fizic sau tehnic

Tradus în limbaj IT: ești obligat să poți recupera datele personale ale clienților și angajaților dacă sistemele tale sunt compromise. Fără backup, nu poți face asta.

Obligații concrete de backup conform GDPR

Concret, GDPR implică patru cerințe legate de backup pe care o firmă românească trebuie să le îndeplinească:

1. Să existe copii de siguranță. Nu opțional — obligatoriu pentru orice firmă care prelucrează date personale (inclusiv datele angajaților și ale clienților).
2. Backup-ul să fie criptat. Datele personale trebuie protejate și în copiile de siguranță. Un backup necriptat pe un hard disk extern nu satisface cerința GDPR.
3. Să existe proceduri de restaurare testate. Nu e suficient să ai backup — trebuie să demonstrezi că poți restaura datele. Testele de recuperare trebuie documentate.
4. Restaurarea să se facă „în timp util". GDPR nu definește un număr de ore, dar autoritatea națională (ANSPDCP) poate considera că o recuperare care durează săptămâni constituie o încălcare.

Ce date trebuie protejate și pentru cât timp

Orice dată care identifică sau poate identifica o persoană fizică intră sub incidența GDPR:

• Datele angajaților: contracte, state de plată, date medicale, CNP-uri
• Datele clienților persoane fizice: facturi, contracte, informații de contact
• Emailurile primite/trimise care conțin date personale
• Bazele de date CRM, ERP sau contabile cu date identificabile

Perioada de retenție depinde de categoria de date și de legislația fiscală/muncii aplicabilă. În general:

• Documente contabile: minim 5 ani (Codul fiscal)
• Dosare de personal: minim 50 ani pentru documentele de bază
• Datele clienților: atât timp cât există un temei legal (contract activ, obligație legală)

Amenzi și consecințe pentru neconformare

Sancțiunile GDPR sunt structurate pe două niveluri:

• Până la 10 milioane € sau 2% din cifra de afaceri globală anuală — pentru încălcări tehnice (inclusiv lipsa măsurilor de securitate precum backup-ul)
• Până la 20 milioane € sau 4% din cifra de afaceri globală anuală — pentru încălcări ale principiilor fundamentale sau ale drepturilor persoanelor

Dincolo de amenzi, un incident care implică pierderea datelor clienților obligă firma la notificarea ANSPDCP în 72 de ore și notificarea persoanelor afectate dacă riscul este ridicat. Costurile de notificare, managementul crizei și impactul reputațional pot depăși uneori amenda în sine.

Cum te conformezi concret

Conformitatea GDPR în ceea ce privește backup-ul înseamnă în practică:

1. Backup zilnic automatizat al tuturor sistemelor care conțin date personale
2. Criptare AES-256 a copiilor de siguranță — atât pe NAS local cât și în cloud
3. Copii offsite — o locație fizică separată sau cloud, pentru protecție față de dezastre locale
4. Teste de restaurare lunare cu documentare a rezultatelor
5. Registru de evidență a activităților de backup în cadrul Registrului de Prelucrare a Datelor (cerut de GDPR art. 30)

Nu trebuie să fie o infrastructură complexă. Un NAS Synology cu backup cloud criptat și monitorizare activă acoperă toate aceste cerințe pentru un IMM cu până la 50 de angajați.