Czy najpierw wykonuje się analizę ryzyka, a dopiero potem DPIA (ocenę skutków dla ochrony danych)?
ODPOWIEDŹ
Ogólna analiza ryzyka (wynikająca z art. 32 RODO) oraz ocena skutków dla ochrony danych (DPIA, art. 35 RODO) to dwa odrębne od siebie procesy, różniące się celem, zakresem, odpowiedzialnością oraz momentem realizacji.
Ogólna analiza ryzyka (art. 32 RODO):
- Jest procesem uniwersalnym i obowiązkowym dla każdego procesu przetwarzania danych,
całkowicie niezależnie od początkowego poziomu ryzyka. - Jej głównym celem jest ustalenie, dobór i zdefiniowanie niezbędnych (adekwatnych)
środków bezpieczeństwa. - Ma charakter procesu ciągłego, realizowanego na każdym etapie cyklu życia danych.
- Wykonuje ją zarówno administrator, jak i podmiot przetwarzający.
Ocena skutków dla ochrony danych (DPIA, art. 35 RODO):
- Jest procesem wyjątkowym, któremu podlegają jedynie te procesy przetwarzania, co do
których wstępna weryfikacja (pre-DPIA) wykaże, że z dużym prawdopodobieństwem mogą
skutkować wysokim ryzykiem dla praw i wolności osób fizycznych. - Jej celem nie jest standardowy dobór zabezpieczeń, ale przede wszystkim upewnienie się
i potwierdzenie, że planowany proces biznesowy pozostaje zgodny z RODO (compliance)
oraz gwarantuje bezpieczeństwo danych (security). - Musi zostać zrealizowana bezwzględnie przed rozpoczęciem czynności przetwarzania
i wykonuje ją wyłącznie administrator. - W przypadku, gdy po opracowaniu DPIA i wdrożeniu zaplanowanych w niej środków ryzyko
szczątkowe nadal pozostaje wysokie, proces ten wymusza podjęcie kolejnych, odrębnych
kroków, czyli uprzednich konsultacji z organem nadzorczym (zgodnie z art. 36 RODO).
