Szukając ryzyk
Artykuł 32 RODO wprost zobowiązuje administratora do wdrożenia odpowiednich środków technicznych i organizacyjnych, które zapewnią właściwy poziom bezpieczeństwa odpowiadający ryzyku wystąpienia naruszenia praw i wolności osób, których dane dotyczą. Co więcej, art. 35 RODO wskazuje, że jeśli dany rodzaj przetwarzania (ze względu na swój charakter, cele, zakres) może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw i wolności osób, administrator powinien przed rozpoczęciem przetwarzania dokonać oceny skutków dla ochrony danych osobowych (tzw. DPIA).
Analiza ryzyka to w gruncie rzeczy przewidywanie co może stać się z danymi osobowymi przy konkretnych procesach ich przetwarzania, a następnie ocena, jak bardzo jest to prawdopodobne i jak wiele szkód (i dla kogo) może wywołać. Te informacje są następnie odpowiednio ważone (wg wybranej przez administratora / IOD-a metody analizy ryzyka). Administrator ustala granice tolerancji ryzyka i na tej podstawie ocenia jaki poziom zabezpieczeń jest konieczny, uwzględniając przy tym swoje możliwości finansowe ich wdrożenia.
Warto dodać, że po analizę ryzyka na pewno sięgnie także organ nadzorczy w przypadku prowadzenia kontroli u administratora.