Analiza ryzyka nazywana też oceną ryzyka często mylona jest z oceną skutków dla ochrony danych z art. 35 RODO (DPIA). Tymczasem ocena ryzyka w RODO podstawowy obowiązek ciążący na każdym administratorze danych osobowych, zaś obowiązek przeprowadzenia DPIA aktualizuje się dopiero w określonych sytuacjach. Obowiązek przeprowadzenia analizy ryzyka wynika z zasady risk based approach, czyli podejściu opartym na ryzyku. To, jakie techniczne i organizacyjne środki bezpieczeństwa powinien wdrożyć administrator, zależy bowiem od charakteru, zakresu, kontekstu i celów przetwarzania danych oraz od ryzyka naruszenia praw lub wolności osób fizycznych, których dane dotyczą. Nie bez znaczenia jest także ryzyko naruszenia interesów administratora.
RODO nie precyzuje zasad przeprowadzania analizy ryzyka
Uwzględniając stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze, administrator i podmiot przetwarzający wdrażają odpowiednie środki techniczne i organizacyjne, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku (art. 32 ogólnego rozporządzenia o ochronie danych). RODO wskazuje więc na konieczność analizy ryzyka, ale nie precyzuje żadnej konkretnej metodyki ryzyka, pozostawiając wybór lub jej opracowanie w gestii administratora danych. Oznacza to, że administrator danych ma swobodę wyboru metodyki przeprowadzenia analizy ryzyka dostosowanej do potrzeb i procesów przetwarzania danych realizowanych w jego organizacji. Nie znaczy to jednak, że proces analizy ryzyka nie powinien być zorganizowany.
Z tematu tygodnia dowiesz się jak 7 krokach przeanalizować ryzyko w tym:
© Portal Poradyodo.pl
