Analiza ryzyka jest nowością na gruncie RODO. Jej dokonanie w określonych sytuacjach jest podstawowym obowiązkiem każdego administratora danych.
Zasadniczo przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych osobowych powinno poprzedzać rozpoczęcie przetwarzania przez administratora danych. W przypadku gdy rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój:
– charakter;
– zakres;
– kontekst i cele;
z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych analiza ryzyka jest obligatoryjna.
Ocena skutków przetwarzania będąca wynikiem przeprowadzonej analizy ryzyka powinna zawierać co najmniej:
– opis planowanych operacji przetwarzania i celów przetwarzania;
– ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
– ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
– środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie RODO.
Jeżeli z przeprowadzonej analizy ryzyka wynikać będzie, że planowane przetwarzanie danych osobowych niesie za sobą ryzyko dla praw lub wolności osób fizycznych, konieczne będzie zwrócenie się do organu nadzorczego w ramach tzw. uprzednich konsultacji.
