Temat: Archiwizacja danych osobowych
Powiem szczerze, że tak przedstawiony problem to poważne rozważania na kilka stron. Wynika to z ogólności zapisów w ustawie w niektórych miejscach i jej dokładności w innych. Jeśli ja miałbym się zabrać do kompleksowego opracowywania procedur to zacząłbym od zrobienia sobie listy kontrolnej z ustawy i przepisów wykonawczych. Potem sprawdziłbym czy przyjęte rozwiązania mieszczą się w wymaganiach ustawodawcy (a przy okazji interpretacji przepisów przez GIODO i sądy - np. patrz wyrok II SA/Wa 1801/07 dostępny pod linkiem
http://www.e-ochronadanych.pl/a,563,ii-sa-wa-1801-07.h.... Na koniec, o ile przyjęte rozwiązania są zgodne z prawem, pozostaje opracowanie procedur.
Oczywiście zawsze pozostaje, moim zdaniem, prawdziwy szlagier ustawy czyli art. 36 w skrócie brzmiący:"Administrator danych jest obowiązany zastosować [...] ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń ...". I tu można śmiało przejść do art. 51:
"Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2"
i art. 52:
"Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku."
Czyli, jeśli coś się stało, to z definicji wiadomo, że ochrona nie była "odpowiednia do zagrożeń". A więc na wstępie dostajesz karę grzywny lub ograniczenia/pozbawienia wolności do lat 2, natomiast jeśli uda ci się udowodnić, że były to zagrożenia, których nie udało ci się przewidzieć i nie miałeś szansy ich przewidzieć, to masz już cały rok mniej i tylko karę grzywny lub ograniczenia/pozbawienia do roku :) (oczywiście jest to pewnego rodzaju uogólnienie ale mniej więcej tak to jest zapisane w przepisach).
Więc możesz sobie analizować wymogi prawa, wyroki, normy itp. ale i tak musisz zawsze zrobić analizę ryzyka i zagrożeń które mogą wystąpić, a jeśli jakichś nie wykryłeś to i tak jesteś w czarnej d... :) Tak mniej więcej jest to zapisane, pocieszające jest, że nie słyszałem, żeby ktoś poszedł siedzieć za złamanie ustawy o ochronie danych osobowych.
Spróbuj zadać bardziej szczegółowe pytanie odnośnie konkretnych rozwiązań technicznych, organizacyjnych będzie łatwiej odpowiedzieć.
P.S. wszystkie cytowane art. pochodzą z ustawy o ochronie danych osobowych.