Niestety RODO nie wyjaśnia wprost, jak administrator danych osobowych powinien przeprowadzać proces analizy ryzyka. Z pomocą przychodzi tu Prezes UODO, który opublikował poradnik wyjaśniający, czym jest podejście oparte na ryzyku i jak to ryzyko analizować.
Trudności z analizą ryzyka
Prezes UODO zwraca uwagę, że RODO nie odnosi się wprost do procesu zarządzania ryzykiem i nie przewiduje określonej metody przeprowadzania oceny w tym zakresie. Proces ten sprawia poważne trudności, tym bardziej, że każdy podmiot musi samodzielnie analizować ryzyko, uwzględniając wiele specyficznych dla niego czynników, takich jak:
- wielkość,
- struktura organizacyjna,
- możliwości techniczne,
- zakres i rodzaj danych,
- cel przetwarzania danych.
Poradnik Prezesa UODO
Aby łatwiej wdrożyć odpowiednie rozwiązania w zakresie analizy ryzyka, warto skorzystać z dwuczęściowego poradnika przygotowanego przez Prezesa UODO.
W pierwszej części poradnika o tytule „Jak rozumieć podejście oparte na ryzyku według RODO?” wyjaśniono istotę zasady podejścia opartego na ryzyku oraz wskazano, do czego zasada ta zobowiązuje podmioty stosujące przepisy RODO. Zdefiniowano również pojęcie ryzyka naruszenia praw i wolności osób, których dane dotyczą. Warto zwrócić uwagę, że poradniku podkreślono, iż szacowanie ryzyka to proces ciągły, który powinien być przeprowadzany przy użyciu konkretnej metody, zapewniającej jednocześnie stosowanie jednolitych definicji i pojęć.
Z kolei w drugiej części nazwanej „Jak stosować podejście oparte na ryzyku” przedstawiono kolejne ewentualne etapy działań podejmowanych w celu przeprowadzania ogólnej oceny ryzyka oraz szczegółowej oceny ryzyka, czyli tzw. oceny skutków dla ochrony danych.
Poradniki Prezesa UODO dostępne są pod adresami:
- Strona internetowa Urzędu Ochrony Danych Osobowych (uodo.gov.pl)