Analiza ryzyka umożliwia dobór zabezpieczeń adekwatnych do ryzyka naruszenia ochrony danych osobowych.

Celem analizy ryzyka jest:

  • określenie celu, zakresu, charakteru i kontekstu przetwarzania danych osobowych;
  • oszacowanie prawdopodobieństwa naruszenia ochrony danych osobowych;
  • oszacowanie wagi naruszenia ochrony danych osobowych dla praw i wolności osób, których dane dotyczą;
  • oszacowanie ryzyka naruszenia ochrony danych osobowych dla praw i wolności osób, których dane dotyczą.

Bez przeprowadzenia analizy ryzyka, niezwykle trudno o:

  • dobór zabezpieczeń adekwatnych do występującego ryzyka naruszenia ochrony danych osobowych;
  • ocenę czy dla danych operacji przetwarzania danych osobowych konieczne jest przeprowadzenie DPIA (oceny skutków operacji przetwarzania dla ochrony danych osobowych);
  • wykazanie przed organem nadzorczym należytego zabezpieczenia danych osobowych.

Analiza ryzyka może być przeprowadzona:

  • przy użyciu własnej metodologii;
  • przy użyciu jednej z oficjalnie dostępnych metodologii, np. przy użyciu aplikacji PIA opracowanej przez francuski organ nadzorczy (CNIL);

...tak długo, jak użyta metodologia pozwoli na obiektywne oszacowanie ryzyka naruszenia ochrony danych osobowych dla praw i wolności osób, których dane dotyczą.

Niezależnie od sposobu przeprowadzenia analizy ryzyka, zostaje ona udokumentowana poprzez sporządzenie raportu na piśmie lub w formie elektronicznej oraz przygotowanie planu zarządzania ryzykiem.

radca prawny Paweł Borek | radca prawny Krzysztof Doliński

RODO | Kancelaria prawna Poznań