Jak ustalić, czy mam do czynienia z ryzykiem lub dużym ryzykiem

Ogólne rozporządzenie o ochronie danych (RODO) nie podaje konkretnej skali czy metody szacowania i zarządzania ryzykiem naruszenia praw lub wolności osób fizycznych. Zgodnie z motywem 77 RODO wskazówki co do tego, jak identyfikować ryzyko dotyczące przetwarzania danych osobowych mogą być przekazane w formie zatwierdzonych kodeksów postępowania czy dobrych praktyk, zatwierdzonej certyfikacji, wytycznych Europejskiej Rady Ochrony Danych lub poprzez sugestie inspektora ochrony danych.

Ryzyko należy oszacować na podstawie obiektywnej oceny. Dlatego jednym z ważniejszych działań dostosowujących organizację do stosowania ogólnego rozporządzenia o ochronie danych (RODO) jest opracowanie i przyjęcie metodyki oceny ryzyka naruszenia praw i wolności osoby, której dane dotyczą. Pomocne mogą tu być normy ISO, jak np. Zarządzanie Ryzykiem w Systemach Bezpieczeństwa Informacji zgodnie z ISO/IEC 27005:2011 lub ISO 31000 Zarządzanie Ryzykiem. Niezależnie od istotności, ryzyko powinno zostać zidentyfikowane. Co dalej zrobi z nim administrator danych, powinno zależeć od tego, jakie zostaną przyjęte kryteria jego oceny i sposobów reakcji w wewnętrznej procedurze zarządzania ryzykiem.