Jaka jest rola IOD przy analizie ryzyka? Proszę o konkretne przykłady jego zadań w tym procesie.

ODPOWIEDŹ

O roli i czynnościach IOD przy okazji przeprowadzania analizy ryzyka przesądza zakres jego zadań, który wynika z art. 39 ust. 1 RODO (zwłaszcza lit. a) i b) tego artykułu):

„Inspektor ochrony danych ma następujące zadania:

• informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
• monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty (…).”]

IOD nie przeprowadza analizy ryzyka, ale powinien zostać zaangażowany w jej ocenę pod kątem zgodności z RODO. W praktyce po stronie IOD powinny pozostawać następujące czynności związane z analizą ryzyka:

• poinformowanie administratora (podmiotu przetwarzającego) o obowiązku przeprowadzenia analizy ryzyka;
• weryfikacja przeprowadzonej analizy ryzyka pod kątem zgodności z RODO;
• przekazanie zaleceń co do ewentualnych zmian lub uzupełnień;
• cykliczny audyt analizy ryzyka oraz przekazanie zaleceń zmian lub uzupełnień;
• przeszkolenie personelu administratora z zakresu prowadzenia analizy ryzyka.