GDPR

GDPR și backup: ce documente trebuie să aibă firma ta la un audit în 2026

· 4 min citit

Știi că trebuie să ai backup — dar dacă vine ANSPDCP mâine, ai documentele care să dovedească asta? Auditorii GDPR nu verifică doar dacă backup-ul există. Verifică dacă este organizat, documentat și testat conform cerințelor Regulamentului.

Firmele românești sunt adesea surprinse că un sistem de backup funcțional nu este suficient dacă lipsesc dovezile scrise. Acest articol acoperă cei 4 piloni documentari pe care îi verifică un auditor GDPR și ce trebuie să conțină fiecare.

Dacă vrei să înțelegi mai întâi obligațiile legale generale înainte de documentație, citește: GDPR și backup: obligațiile concrete ale firmei tale față de protecția datelor.

1. Registrul de prelucrare (Art. 30) — secțiunea backup

Articolul 30 din GDPR obligă orice organizație care prelucrează date personale să mențină un registru al activităților de prelucrare. Backup-ul este o activitate de prelucrare și trebuie înregistrată explicit.

Ce trebuie să conțină secțiunea de backup din registru:

  • Scopul prelucrării: recuperare date în caz de incident, continuitate operațională
  • Categoriile de date incluse în backup: date angajați, date clienți, documente contabile etc.
  • Destinatarii datelor: furnizorul de stocare cloud (Wasabi, Backblaze B2), cu sediul și transferurile internaționale documentate
  • Termenele de stocare: câte zile/luni sunt păstrate versiunile de backup
  • Măsuri tehnice de securitate: criptare AES-256, acces restricționat, autentificare 2FA
  • Responsabilul prelucrării: persoana sau rolul responsabil de gestionarea backup-ului

Un registru Art. 30 incomplet — care menționează backup-ul generic fără aceste detalii — este una dintre cele mai frecvente constatări negative la auditurile ANSPDCP.

2. Politica de backup — ce clauze minime trebuie să existe

Politica de backup este documentul intern care descrie cum funcționează sistemul de backup al firmei. Nu trebuie să fie lungă — 2–4 pagini sunt suficiente — dar trebuie să acopere:

  • Frecvența backup-ului: zilnic automat pentru date critice, săptămânal pentru arhive
  • Tipurile de backup: complet, incremental, diferențial
  • Locațiile de stocare: NAS local + cloud offsite (locație geografică specifică)
  • Politica de retenție: câte versiuni sunt păstrate și pentru cât timp
  • Criptarea: algoritmul folosit, gestionarea cheilor
  • Accesul la backup: cine are acces și prin ce mecanism de autentificare
  • Procedura de restaurare: pași documentați pentru recuperarea datelor
  • Responsabilii: cine verifică backup-ul zilnic, cine escaladează alertele

Politica trebuie să fie aprobată formal de management (semnătură sau aprobare electronică documentată) și revizuită cel puțin o dată pe an.

3. Rapoartele de testare restaurare

Acesta este documentul pe care auditorii îl cer cel mai des și pe care firmele îl au cel mai rar. Un backup nerestaurat este, din perspectiva GDPR, un backup nevalidat — și prin urmare o măsură tehnică insuficientă.

Un raport de testare restaurare trebuie să conțină:

  • Data testului și persoana care l-a efectuat
  • Ce date au fost restaurate (tipuri, perioade)
  • Durata restaurării (relevant pentru evaluarea RTO)
  • Rezultatul testului: succes complet / parțial / eșec (cu detalii)
  • Observații și acțiuni corective dacă au fost necesare
  • Semnătura responsabilului IT și a unui manager

Frecvența minimă recomandată: o dată la 30 de zile pentru firme cu date sensibile (medicale, juridice, contabile); o dată la 90 de zile pentru firme cu risc mai mic. Pachetele BackupFirma includ aceste rapoarte automat.

4. Planul de răspuns la incident — minimul viabil pentru un IMM

Planul de răspuns la incident nu trebuie să fie un document de 50 de pagini. Pentru un IMM, 1–2 pagini sunt suficiente dacă acoperă:

  • Criteriile de declanșare: ce înseamnă un „incident de securitate" pentru firma ta
  • Primul pas imediat: cine este contactat în primele 30 minute
  • Procesul de evaluare: cum se determină dacă date personale au fost compromise
  • Procedura de notificare ANSPDCP în 72 de ore (formular, contact, conținut minim)
  • Procedura de notificare a persoanelor afectate (dacă riscul este ridicat)
  • Responsabilitățile: cine face ce, cu ce date de contact

Checklist: firma ta are documentele GDPR pentru backup?

Verificare rapidă — 10 puncte

Bifează ce există deja în firma ta

Dacă ai mai puțin de 7 bifate, firma ta este vulnerabilă la o amendă GDPR în cazul unui incident sau al unui audit. Dacă ai mai puțin de 5, riscul este ridicat chiar și fără un incident — un auditor poate sancționa lipsa măsurilor tehnice și documentare fără să fie nevoie de o breșă.

Ce se întâmplă dacă lipsesc documentele la audit

ANSPDCP poate declanșa o investigație atât după un incident raportat, cât și din oficiu sau la sesizarea unui terț. Lipsa documentației GDPR pentru backup poate atrage:

  • Avertisment formal cu termen de conformare (cel mai comun rezultat pentru prima abatere)
  • Amendă administrativă între 1.000 și 100.000 EUR, în funcție de gravitate și dimensiunea organizației
  • Obligație de auditare periodică pe cheltuiala organizației
  • Publicarea sancțiunii pe site-ul ANSPDCP — cu impact reputațional semnificativ pentru firmele care lucrează cu date sensibile

Documentele nu sunt birocrație. Sunt dovada că firma ta a luat în serios responsabilitatea față de datele pe care le gestionezi.

Citește și

Ransomware

Cât costă un atac ransomware pentru o firmă mică din România

 NAS

Synology vs. NAS ieftin de pe eMAG: de ce contează alegerea pentru backup

 GDPR

Obligațiile concrete GDPR pentru backup: ce trebuie să știe firma ta

Livrăm toate aceste documente incluse în pachet

Registrul Art. 30 completat, politica de backup, rapoarte de restaurare și planul de incident — toate incluse la implementare, gata pentru un audit ANSPDCP.

Vezi pachete cu documentație GDPR Solicită evaluare gratuită