Jaka jest rola IOD przy analizie ryzyka? Proszę o konkretne przykłady jego zadań w tym procesie.
ODPOWIEDŹ
O roli i czynnościach IOD przy okazji przeprowadzania analizy ryzyka przesądza zakres jego zadań, który wynika z art. 39 ust. 1 RODO (zwłaszcza lit. a) i b) tego artykułu):
„Inspektor ochrony danych ma następujące zadania:
- informowanie administratora, podmiotu przetwarzającego oraz pracowników, którzy przetwarzają dane osobowe, o obowiązkach spoczywających na nich na mocy niniejszego rozporządzenia oraz innych przepisów Unii lub państw członkowskich o ochronie danych i doradzanie im w tej sprawie;
- monitorowanie przestrzegania niniejszego rozporządzenia, innych przepisów Unii lub państw członkowskich o ochronie danych oraz polityk administratora lub podmiotu przetwarzającego w dziedzinie ochrony danych osobowych, w tym podział obowiązków, działania zwiększające świadomość, szkolenia personelu uczestniczącego w operacjach przetwarzania oraz powiązane z tym audyty (…).”]
IOD nie przeprowadza analizy ryzyka, ale powinien zostać zaangażowany w jej ocenę pod kątem zgodności z RODO. W praktyce po stronie IOD powinny pozostawać następujące czynności związane z analizą ryzyka:
- poinformowanie administratora (podmiotu przetwarzającego) o obowiązku przeprowadzenia analizy ryzyka;
- weryfikacja przeprowadzonej analizy ryzyka pod kątem zgodności z RODO;
- przekazanie zaleceń co do ewentualnych zmian lub uzupełnień;
- cykliczny audyt analizy ryzyka oraz przekazanie zaleceń zmian lub uzupełnień;
- przeszkolenie personelu administratora z zakresu prowadzenia analizy ryzyka.