Ogólna analiza ryzyka oraz Ocena skutków dla ochrony danych (DPIA) to podstawowe obowiązki wynikających z RODO. Ogólna analiza ryzyka musi być przeprowadza przez każdego. Z kolei DPIA to szczególny rodzaj analizy ryzyka dokonywany w określonych okolicznościach. Zarówno ogólną analizę ryzyka jak i DPIA musi przeprowadzić nie tylko administrator danych osobowych, ale także procesor.
Z przepisów RODO wynika konieczność przeprowadzania:
Ogólna analiza ryzyka ma charakter powszechny. Każdy administrator danych Osobowych musi oceniać, czy przetwarzanie danych osobowych w danej organizacji niesie ze sobą ryzyko i jakie dokładnie.
Ocena ogólnego ryzyka może być przeprowadzona przy użyciu dowolnej metodologii, pod warunkiem, że pozwala ona na dokładną (czyli rzetelną i kompletną) ocenę ryzyka. Kwestię tę dość wnikliwie bada Prezes Urzędu Ochrony Danych Osobowych w przypadku kontroli. W praktyce jednym z często wykorzystywanych rozwiązań jest SO/IEC 27002 – Praktyczne zasady zabezpieczeń informacyjnych.
Prezes UODO dzieli ogólną analizę ryzyka na 4 etapy.
Czy tylko administrator ma obowiązek dokonywania ogólnej analizy ryzyka? Ponieważ zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym spoczywa obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to ten sam Administrator Danych Osobowych lub podmiot przetwarzający musi regularnie przeprowadzać ogólną ocenę ryzyka związanego z takim przetwarzaniem. Zgodnie z zasadą rozliczalności wynikającą z artykułu 5 ust. 2 RODO, administrator danych jak i procesor musi być w stanie udowodnić przestrzeganie przepisów, dlatego warto sporządzić taką ocenę na piśmie lub w formie elektronicznej i regularnie ją aktualizować.
Obowiązek przeprowadzania ogólnej analizy ryzyka ma nie tylko administrator danych osobowych ale też podmiot przetwarzający.
Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Została ona zdefiniowana w art. 35 ust. 1 RODO. Otóż jeżeli dany rodzaj przetwarzania:
z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania musi dokonać oceny skutków dla ochrony danych osobowych. DPIA musi więc poprzedzać daną operację przetwarzania.
Postanowienia art. 35 ust. 1 ogólnego rozporządzenia o ochronie danych odnoszą się wyłącznie do administratora, ale z całą pewnością dotyczą także podmiotu przetwarzającego. Należy zauważyć, że w ust. 8 tego samego artykułu mowa jest o procesorze. Ponadto trudno znaleźć podmiot przetwarzający, który nie pełniłby jednocześnie roli administratora danych osobowych.
Tymczasem art. 35 ust. 1 RODO nie ogranicza konieczności przeprowadzenia oceny skutków ochrony danych jedynie do danych osobowych przetwarzanych przez podmiot będący administratorem, a nie procesorem. Obowiązek przeprowadzenia oceny skutków ochrony danych dotyczy zaś wszystkich danych osobowych przetwarzanych przez dany podmiot.
Z wideoszkolenia dowiesz się m.in.:
Szkolenie prowadzi Agnieszka Wachowska, radczyni prawna, Co-Managing Partners, Szefowa zespołu IT-Tech w TKP
© Portal Poradyodo.pl
