Temat: Archiwizacja danych osobowych

Witam

Podchwytliwe pytanie: jakie są minimalne procedury archiwizacji d.o. wynikające z przepisów ? gdzie ich szukać ?

Temat: Archiwizacja danych osobowych

Inaczej skonstruuję swoje pytanie:

jak należy dokumentować tworzenie kopii bezpieczeństwa danych osobowych ?

i przy okazji jeszcze jedno pytanie mi się nasuwa: jeżeli baza wymaga określonej wersji programu, dostęp do programu jest chroniony hasłem zmienianym co miesiąc - jak należy przechowywać hasła do odpowiednich kopii archiwalnych bazy odpowiadających kolejnym wersjom programu ?

I jeszcze jedna sprawa: czy każdą zmianę hasła (np. użytkownik zapomniał hasło i należy je zmienić, bo zablokował konto) należy odnotowywać w formie notatki ?

Temat: Archiwizacja danych osobowych

Powiem szczerze, że tak przedstawiony problem to poważne rozważania na kilka stron. Wynika to z ogólności zapisów w ustawie w niektórych miejscach i jej dokładności w innych. Jeśli ja miałbym się zabrać do kompleksowego opracowywania procedur to zacząłbym od zrobienia sobie listy kontrolnej z ustawy i przepisów wykonawczych. Potem sprawdziłbym czy przyjęte rozwiązania mieszczą się w wymaganiach ustawodawcy (a przy okazji interpretacji przepisów przez GIODO i sądy - np. patrz wyrok II SA/Wa 1801/07 dostępny pod linkiem http://www.e-ochronadanych.pl/a,563,ii-sa-wa-1801-07.h.... Na koniec, o ile przyjęte rozwiązania są zgodne z prawem, pozostaje opracowanie procedur.
Oczywiście zawsze pozostaje, moim zdaniem, prawdziwy szlagier ustawy czyli art. 36 w skrócie brzmiący:"Administrator danych jest obowiązany zastosować [...] ochronę przetwarzanych danych osobowych odpowiednią do zagrożeń ...". I tu można śmiało przejść do art. 51:
"Kto administrując zbiorem danych lub będąc obowiązany do ochrony danych osobowych udostępnia je lub umożliwia dostęp do nich osobom nieupoważnionym, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do lat 2"
i art. 52:
"Kto administrując danymi narusza choćby nieumyślnie obowiązek zabezpieczenia ich przed zabraniem przez osobę nieuprawnioną, uszkodzeniem lub zniszczeniem, podlega grzywnie, karze ograniczenia wolności albo pozbawienia wolności do roku."
Czyli, jeśli coś się stało, to z definicji wiadomo, że ochrona nie była "odpowiednia do zagrożeń". A więc na wstępie dostajesz karę grzywny lub ograniczenia/pozbawienia wolności do lat 2, natomiast jeśli uda ci się udowodnić, że były to zagrożenia, których nie udało ci się przewidzieć i nie miałeś szansy ich przewidzieć, to masz już cały rok mniej i tylko karę grzywny lub ograniczenia/pozbawienia do roku :) (oczywiście jest to pewnego rodzaju uogólnienie ale mniej więcej tak to jest zapisane w przepisach).
Więc możesz sobie analizować wymogi prawa, wyroki, normy itp. ale i tak musisz zawsze zrobić analizę ryzyka i zagrożeń które mogą wystąpić, a jeśli jakichś nie wykryłeś to i tak jesteś w czarnej d... :) Tak mniej więcej jest to zapisane, pocieszające jest, że nie słyszałem, żeby ktoś poszedł siedzieć za złamanie ustawy o ochronie danych osobowych.
Spróbuj zadać bardziej szczegółowe pytanie odnośnie konkretnych rozwiązań technicznych, organizacyjnych będzie łatwiej odpowiedzieć.

P.S. wszystkie cytowane art. pochodzą z ustawy o ochronie danych osobowych.

Temat: Archiwizacja danych osobowych

Dzięki za rozjaśnienie - mam po prostu mały zgryz z ASI, któremu nie za bardzo chce się "pilnować papierków", że wyonał wszystko tak, jak trzeba (choć robi, to trzeba przyznać). Nie umie niestety zrozumieć, że bycie dobrym praktykiem nie uchroni go od odpowiedzialności, jeżeli "coś się stanie", a nie będzie mieć "papiurków".

Temat: Archiwizacja danych osobowych

Na ASI, jezeli nie mozesz sie juz dogadac, sporzadzasz notatke sluzbowa i oddajesz do ADO droga sluzbowa. Papierki zachowujesz dla siebie. Moze swinskie, ale skuteczne. Wczesniej oczywiscie powiadom ASI, ze jestes zmuszony podjac takie kroki, zeby w razie czego byc krytym.