Analizę ryzyka i ocenę skutków dla ochrony danych (DPIA) musi przeprowadzić także procesor

Z przepisów RODO wynika konieczność przeprowadzania:

• ogólnej analizy ryzyka przetwarzania danych osobowych; oraz
• oceny skutków dla ochrony danych osobowych (Data Protection Impact Assessment tj. DPIA).

Ogólna analiza ryzyka ma charakter powszechny. Każdy administrator danych Osobowych musi oceniać, czy przetwarzanie danych osobowych w danej organizacji niesie ze sobą ryzyko i jakie dokładnie.

Ocena ogólnego ryzyka może być przeprowadzona przy użyciu dowolnej metodologii, pod warunkiem, że pozwala ona na dokładną (czyli rzetelną i kompletną) ocenę ryzyka. Kwestię tę dość wnikliwie bada Prezes Urzędu Ochrony Danych Osobowych w przypadku kontroli. W praktyce jednym z często wykorzystywanych rozwiązań jest SO/IEC 27002 – Praktyczne zasady zabezpieczeń informacyjnych.

Dowiedz się, jak krok po kroku przeprowadzić ogólną analizę ryzyka RODO w Twojej organizacji.

Czy tylko administrator ma obowiązek dokonywania ogólnej analizy ryzyka? Ponieważ zarówno na administratorze danych osobowych, jak i na podmiocie przetwarzającym spoczywa obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych, to ten sam Administrator Danych Osobowych lub podmiot przetwarzający musi regularnie przeprowadzać ogólną ocenę ryzyka związanego z takim przetwarzaniem. Zgodnie z zasadą rozliczalności wynikającą z artykułu 5 ust. 2 RODO, administrator danych jak i procesor musi być w stanie udowodnić przestrzeganie przepisów, dlatego warto sporządzić taką ocenę na piśmie lub w formie elektronicznej i regularnie ją aktualizować.

Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Została ona zdefiniowana w art. 35 ust. 1 RODO. Otóż jeżeli dany rodzaj przetwarzania:

• w szczególności z użyciem nowych technologii,
• ze względu na swój charakter, zakres, kontekst i cele

z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania musi dokonać oceny skutków dla ochrony danych osobowych. DPIA musi więc poprzedzać daną operację przetwarzania.

Postanowienia art. 35 ust. 1 ogólnego rozporządzenia o ochronie danych odnoszą się wyłącznie do administratora, ale z całą pewnością dotyczą także podmiotu przetwarzającego. Należy zauważyć, że w ust. 8 tego samego artykułu mowa jest o procesorze. Ponadto trudno znaleźć podmiot przetwarzający, który nie pełniłby jednocześnie roli administratora danych osobowych.

Tymczasem art. 35 ust. 1 RODO nie ogranicza konieczności przeprowadzenia oceny skutków ochrony danych jedynie do danych osobowych przetwarzanych przez podmiot będący administratorem, a nie procesorem. Obowiązek przeprowadzenia oceny skutków ochrony danych dotyczy zaś wszystkich danych osobowych przetwarzanych przez dany podmiot.

Sprawdź, jak przeprowadzić DPIA w związku z prowadzeniem sklepu internetowego.