W archiwum ochrona danych osobowych polega na takim zorganizowaniu pracy i zabezpieczeń, aby dane nie zostały ujawnione osobom nieuprawnionym, nie uległy utracie ani zniszczeniu, a także aby istniały jasne zasady postępowania w razie naruszeń.
Stwierdzenie: "Dane osobowe mogą być przekazywane osobom trzecim bez zgody osoby, której dane dotyczą." jest fałszywe w ujęciu egzaminacyjnym, ponieważ sugeruje pełną dowolność przekazywania danych. W realiach pracy archiwum udostępnienie danych wymaga co najmniej istnienia uprawnienia/podstawy i weryfikacji, czy odbiorca jest uprawniony. Sama "osoba trzecia" nie jest automatycznie podmiotem, któremu wolno przekazać dane.
Pozostałe stwierdzenia opisują typowe, prawidłowe elementy systemu ochrony danych w archiwum:
- Przechowywanie w sposób uniemożliwiający przypadkowe zniszczenie – obejmuje m.in. odpowiednie warunki lokalowe, kontrolę dostępu, ochronę przed zalaniem/pożarem oraz właściwą organizację przechowywania i obiegu dokumentacji.
- Procedury reagowania na incydenty – archiwum powinno wiedzieć, co robić w razie zagubienia akt, nieuprawnionego wglądu, błędnego udostępnienia czy awarii systemu. Procedury porządkują działania i skracają czas reakcji.
- Dokumentacja przetwarzania i zabezpieczeń – brak dokumentowania zasad i środków ochrony utrudnia wykazanie, że archiwum działa w sposób uporządkowany i zgodny z wymaganiami ochrony danych.
Wskazówka egzaminacyjna: jeśli w odpowiedziach pojawia się zdanie kategoryczne typu "można zawsze / bez ograniczeń", zwykle jest ono podejrzane. W ochronie danych niemal zawsze kluczowe są: uprawnienie, kontrola dostępu i udokumentowane procedury.
