Analiza ryzyka umożliwia dobór zabezpieczeń adekwatnych do ryzyka naruszenia ochrony danych osobowych.
Celem analizy ryzyka jest:
- określenie celu, zakresu, charakteru i kontekstu przetwarzania danych osobowych;
- oszacowanie prawdopodobieństwa naruszenia ochrony danych osobowych;
- oszacowanie wagi naruszenia ochrony danych osobowych dla praw i wolności osób, których dane dotyczą;
- oszacowanie ryzyka naruszenia ochrony danych osobowych dla praw i wolności osób, których dane dotyczą.
Bez przeprowadzenia analizy ryzyka, niezwykle trudno o:
- dobór zabezpieczeń adekwatnych do występującego ryzyka naruszenia ochrony danych osobowych;
- ocenę czy dla danych operacji przetwarzania danych osobowych konieczne jest przeprowadzenie DPIA (oceny skutków operacji przetwarzania dla ochrony danych osobowych);
- wykazanie przed organem nadzorczym należytego zabezpieczenia danych osobowych.
Analiza ryzyka może być przeprowadzona:
- przy użyciu własnej metodologii;
- przy użyciu jednej z oficjalnie dostępnych metodologii, np. przy użyciu aplikacji PIA opracowanej przez francuski organ nadzorczy (CNIL);
...tak długo, jak użyta metodologia pozwoli na obiektywne oszacowanie ryzyka naruszenia ochrony danych osobowych dla praw i wolności osób, których dane dotyczą.
Niezależnie od sposobu przeprowadzenia analizy ryzyka, zostaje ona udokumentowana poprzez sporządzenie raportu na piśmie lub w formie elektronicznej oraz przygotowanie planu zarządzania ryzykiem.