Czy najpierw wykonuje się analizę ryzyka, a dopiero potem DPIA (ocenę skutków dla ochrony danych)?

ODPOWIEDŹ

Ogólna analiza ryzyka (wynikająca z art. 32 RODO) oraz ocena skutków dla ochrony danych (DPIA, art. 35 RODO) to dwa odrębne od siebie procesy, różniące się celem, zakresem, odpowiedzialnością oraz momentem realizacji.

Ogólna analiza ryzyka (art. 32 RODO):

• Jest procesem uniwersalnym i obowiązkowym dla każdego procesu przetwarzania danych, całkowicie niezależnie od początkowego poziomu ryzyka.
• Jej głównym celem jest ustalenie, dobór i zdefiniowanie niezbędnych (adekwatnych) środków bezpieczeństwa.
• Ma charakter procesu ciągłego, realizowanego na każdym etapie cyklu życia danych.
• Wykonuje ją zarówno administrator, jak i podmiot przetwarzający.

Ocena skutków dla ochrony danych (DPIA, art. 35 RODO):

• Jest procesem wyjątkowym, któremu podlegają jedynie te procesy przetwarzania, co do których wstępna weryfikacja (pre-DPIA) wykaże, że z dużym prawdopodobieństwem mogą skutkować wysokim ryzykiem dla praw i wolności osób fizycznych.
• Jej celem nie jest standardowy dobór zabezpieczeń, ale przede wszystkim upewnienie się i potwierdzenie, że planowany proces biznesowy pozostaje zgodny z RODO (compliance) oraz gwarantuje bezpieczeństwo danych (security).
• Musi zostać zrealizowana bezwzględnie przed rozpoczęciem czynności przetwarzania i wykonuje ją wyłącznie administrator.
• W przypadku, gdy po opracowaniu DPIA i wdrożeniu zaplanowanych w niej środków ryzyko szczątkowe nadal pozostaje wysokie, proces ten wymusza podjęcie kolejnych, odrębnych kroków, czyli uprzednich konsultacji z organem nadzorczym (zgodnie z art. 36 RODO).