Obowiązek przeprowadzenia DPIA niezależnie od wyników ogólnej oceny ryzyka

RODO przewiduje:

• ogólną ocenę ryzyka przetwarzania danych osobowych; oraz
• ocenę skutków dla ochrony danych osobowych.

Ogólna ocena ryzyka przetwarzania danych to wymóg, który obejmuje każdego administratora. Jest to ocena czy przetwarzanie danych osobowych w danej organizacji generuje ryzyka i jakie. Skoro bowiem to na ADO ciąży obowiązek zapewnienia bezpieczeństwa przetwarzania danych osobowych to ten sam ADO musi dokonywać okresowej ogólne oceny ryzyk zagrażających temu przetwarzania. Ponieważ zgodnie z zasadą rozliczalności z art. 5 ust. 2 RODO ADO musi być w stanie wykazać przestrzeganie przepisów, to warto taką ocenę wykonać pisemnie czy też w formie elektronicznej i okresowo aktualizować.

Ogólna ocena ryzyka może być przeprowadzona z użyciem dowolnej metodologii, byle by pozwoliła ona na rzetelną (tj. prawdziwą i kompletną) ocenę ryzyka – i to będzie przedmiotem zainteresowania organu nadzorczego w toku ewentualnej kontroli. Jedną z powszechniej stosowanych metodologii jest SO/IEC 27002 – Praktyczne zasady zabezpieczania informacji.

Polski organ nadzorczy wyróżnił swego czasu następujące etapy procesu oceny ryzyka:

• kontekst dla oceny ryzyka,
• opis i identyfikacja wymagań prawnych i techniczno-organizacyjnych,
• szacowanie i ocena ryzyka,
• postępowanie z ryzkiem.

Drugim rodzajem analizy ryzyka jest ocena skutków dla ochrony danych osobowych (DPIA, Data Protection Impact Assessment). Zgodnie z art. 35 ust. 1 RODO jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Art. 35 ust. 9 RODO pozwala administratorowi danych osobowych, w stosownych przypadkach, na zasięgnięcie opinii osób, których dane dotyczą, lub ich przedstawicieli w sprawie zamierzonego przetwarzania, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania.

Art. 35 ust. 7 RODO wymaga aby ocena zawierała:

• systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora,
• ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów,
• ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
• środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.

Obie analizy ryzyka są od siebie niezależne. Nie jest prawidłowym rozumowaniem traktowanie DPIA jako w pewnym sensie „następczej” dla ogólnej oceny ryzyka. Przesłanki dokonania oceny ryzyka z art. 35 RODO należy traktować samodzielnie. Innymi słowy wystąpienie przesłanek przeprowadzenia DPIA nie jest zależne od wyników ogólnej oceny ryzyka przetwarzania danych.