Kolejną nowość wprowadzaną przez Rozporządzenie stanowi obowiązek przeprowadzenia przez administratora danych analizy ryzyka. Wymuszenie takiej analizy, poprzez ustanowienie jej jednym z podstawowych obowiązków administratora danych w określonych przez Rozporządzenie sytuacjach, ma na celu zwiększenie świadomości niebezpieczeństw występujących przy przetwarzaniu danych osobowych. Ewentualny wyciek danych osobowych może, bowiem spowodować znacznie większe straty niż jedynie koszt odszkodowań.
W praktyce przeprowadzenie analizy ryzyka związanego z przetwarzaniem danych osobowych powinno nastąpić przed rozpoczęciem przetwarzania danych przez administratora. Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych – przeprowadzenie analizy ryzyka jest obligatoryjne.
Zgodnie z Rozporządzeniem, przeprowadzając analizę, administrator danych konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony. Ocena skutków dla ochrony danych jest w szczególności wymagana w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa; lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych oraz przekazuje te wykazy Europejskiej Radzie Ochrony Danych.
Ocena skutków dla ochrony danych będąca wynikiem wykonanej analizy ryzyka powinna zawierać co najmniej:
– opis planowanych operacji przetwarzania i celów przetwarzania;
– ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
– ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą;
– środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie przepisów Rozporządzenia.
Jeżeli ocena skutków dla ochrony danych wykaże, że przetwarzanie mogłoby spowodować wysokie ryzyko, w przypadku nie zastosowania przez administratora środków mających na celu zminimalizowanie tego ryzyka, to, zgodnie z Rozporządzeniem, przed rozpoczęciem przetwarzania konieczne będzie zasięgnięcie konsultacji organu nadzorczego. Jeśli zaś organ nadzorczy stwierdzi, że zamierzone przetwarzanie danych stanowiłoby naruszenie Rozporządzenia – w szczególności, gdy administrator niedostatecznie zidentyfikował lub zminimalizował ryzyko – to organ nadzorczy udzieli administratorowi pisemnych zaleceń oraz będzie mógł skorzystać z uprawnień przysługujących mu na podstawie przepisów Rozporządzenia. Co do zasady, takie konsultacje będą trwały osiem tygodni. Termin ten może jednak ulec przedłużeniu, ponadto bieg tego terminu można zawiesić do czasu, aż organ nadzorczy uzyska wszelkie informacje, których zażądał dla celów konsultacji.