Tak, ponieważ analiza ryzyka to obowiązek każdego administratora danych osobowych.
Czym jest analiza ryzyka i DPIA
Analiza czy też ocena ryzyka to obowiązek każdego administratora danych. Jest to innymi słowy wymóg oceny tego czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na administratorze ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam administrator musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania.
Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO administrator musi być w stanie wykazać przestrzeganie przepisów to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.
Analizę ryzyka przeprowadza każdy ADO
Oceny ryzyka dokonuje każdy administrator danych osobowych, bez względu na wielkość czy zakres działalności.. Nie ma więc tu znaczenia wskazana lokalizacja serwerowni czy też fakt, że oba zakłady wchodzą w skład grupy kapitałowej z siedzibą w innym państwie członkowskim Unii Europejskiej. Ważne jest to czy zakłady te (które są odrębnymi spółkami prawa handlowego) są administratorami danych osobowych czy też nie.
Jeżeli nie – ocenę ryzyka przeprowadza inny podmiot z grupy będący takim administratorem, zazwyczaj będzie to spółka matka holdingu albo jakaś spółka pełniąca rolę centrum obsługi (centrum usług wspólnych).
Po ustaleniu administratora powinien on przeprowadzić ocenę ryzyka i ocena ta powinna obejmować w zakresie ogólnej oceny ryzyka – każdy z zakładów (ponieważ ogólna ocena ryzyka dotyczy ogółu działalności administratora).
