Te dwa procesy są czasami mylone. Sprawdzamy, czym różni się ogólna analiza ryzyka od DPIA.

specjalista w zakresie ochrony danych osobowych

W jakim momencie należy przeprowadzić analizę ryzyka, a kiedy DPIA? Co podlega ocenie w toku analizy ryzyka, a co – w ramach DPIA? Którą ocenę musi przeprowadzić podmiot przetwarzający? Odpowiedzi w tabeli.

Kryteria	Ogólna analiza ryzyka	DPIA
W którym momencie należy ją przeprowadzić	przed rozpoczęciem przetwarzania danych	przed rozpoczęciem przetwarzania danych
Który administrator musi ją przeprowadzić?	każdy	tylko ten, w odniesieniu do którego wystąpiły przesłanki z art. 35 ust. 1 RODO (zob. niżej).
W jakich okolicznościach należy ją przeprowadzić	w szczególności: rozpoczęcie działalności poszerzenie lub zmiana profilu działalności w sposób wpływający na przetwarzanie danych osobowych (np. otwarcie nowego oddziału) rozpoczęcie nowych operacji przetwarzania (np. w związku ze świadczeniem nowej usługi) zmiana realiów (np. w przypadku powzięcia informacji o nieskuteczności stosowanej technologii przetwarzania pod kątem bezpieczeństwa danych), wdrażanie nowych technologii związanych z przetwarzaniem danych osobowych	wysokie i cechujące się dużym prawdopodobieństwem ryzyko naruszenia praw i wolności osób fizycznych, które może generować dany rodzaj przetwarzania ze względu na swój charakter, zakres, kontekst i cele, a w szczególności, gdy dokonuje się: systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie
Czy obowiązek dotyczy też procesora w zakresie powierzonych danych?	tak (art. 32 RODO)	nie
Jakie elementy powinna zawierać?	brak określenia w przepisach, wybór metodologii zależy od administratora Z „Poradnika UODO” wynika, że analiza powinna uwzględniać: zakres i cele przetwarzania rodzaj przetwarzanych danych specyfikę działalności organizacji wielkość, strukturę oraz możliwości organizacyjne, techniczne i finansowe danej jednostki	co najmniej: systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą planowane środki zmierzające do zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO, z uwzględnieniem praw i prawnie uzasadnionych interesów podmiotów danych, i innych osób, których dotyczy sprawa
Na co należy kłaść nacisk?	potencjalne negatywne skutki (straty materialne i niematerialne) zarówno dla organizacji, jak i dla podmiotów danych	ryzyko naruszenia praw i wolności podmiotów danych
Czy konieczny jest udział inspektora ochrony danych?	tak (w związku z doradczymi zadaniami IOD)	tak (obowiązek konsultacji z IOD jest wprost przewidziany w art. 39 ust. 1 lit. c RODO).
Czy konieczna jest konsultacja z Prezesem UODO?	nie	tak, jeśli DPIA wskaże, że przetwarzanie powodowałoby wysokie ryzyko, gdyby administrator nie zastosował środków w celu zminimalizowania tego ryzyka (art. 36 ust. 1 RODO)

Podstawa prawna:

Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679 z 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (Dz.Urz. UE.L nr 119, str. 1) – art. 24, art. 32, art. 35, art. 39.

Informacje

Ostatnie numery

Kontakt

Zobacz nas