Samo wdrożenie RODO nie wystarczy. Administrator danych osobowych musi być bowiem zdolny do zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania. Poza tym musi mieć możliwość szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego. Do tego powinien zapewnić regularne testowanie, mierzenie i ocenianie skuteczności środków bezpieczeństwa danych osobowych. W tym wszystkim pomoże mu plan ciągłości działania RODO.
Plan ciągłości działania jako dokumentacja ochrony danych
Polityki i procedury ochrony danych są uznawane za środki bezpieczeństwa danych. Niemniej jednak RODO nie wskazuje, jakie konkretnie dokumenty powinny być przyjęte przez administratora w charakterze takich środków. Plan ciągłości działania (business continuity plan, BCP) spełniać rolę szczególnej procedury mającej zapewnić stały poziom ochrony danych osobowych. Jest to niewątpliwie dokument rekomendowany, ale nie obowiązkowy.
System zarządzanie ciągłością działania a norma ISO 22301
Dlaczego warto wdrożyć plan ciągłości działania? Jego przyjęcie jest zgodne z międzynarodową normą ISO 22301. Norma ta dotyczy systemu zarządzania ciągłością działania i jest też znana pod nazwą Business Continuity Management Systems (BCMS). Nakłada ona na jednostki obowiązki w zakresie:
- zarządzania ryzykiem i identyfikowania ryzyka,
- komunikacji w przypadku wystąpienia zdarzeń kryzysowych w jednostce,
- określenia celów bezpieczeństwa oraz monitorowanie ich realizacji,
- planowania i przygotowania na wypadek sytuacji kryzysowych,
- podziału kompetencji pomiędzy poszczególne szczeble zarządzania przedsiębiorstwem.
Normę ISO 22301 może oczywiście wdrożyć każda jednostka, korzystając z procesów certyfikacji przez akredytowane podmioty. Niemniej nie jest to obowiązkowe. Tak naprawdę wystarczające jest jej wdrożenie sztandarowego mechanizmu zarządzania ciągłością działania czyli wspomnianego planu ciągłości działania.
