Máte zpracovaný seznam nových povinností plynoucích z GDPR. Porovnejte tyto nové povinnosti se stávajícím interním systémem a vyhodnoťte, kde jsou rizikové oblasti.
Identifikujte potenciální škody, zvažte pravděpodobnost jejich vzniku a jejich závažnost (více o analýze rizik v článku 24 a 25 GDPR). Na základě zjištěného rizika zvolte vhodná opatření k jeho eliminaci nebo snížení.
Vhodným opatřením může být např. pseudonymizace, omezení přístupu nebo fyzické a síťové zabezpečení údajů a/nebo stanovení vnitřních pravidel pro zacházení s osobními údaji. Opatření také průběžně revidujte a aktualizujte!
Analýza rizik by měla obsahovat alespoň následující prvky:
Popis posuzované aktivity – definice, účel, charakteristika
Klasifikace rizika (nízké / střední / vysoké)
Vysoké riziko zakládá např. povinnost provést hodnocení dopadů na ochranu os. údajů (DPIA, dle článku 35 GDPR) nebo povinnost předchozí konzultace s dozorovým úřadem (dle článku 36 GDPR).
Vysoce rizikovým je např. zpracování, které využívá nových technologií a kde je pro subjekt údajů obtížné uplatnit svá práva.
Nízké riziko naopak připouští některé výjimky z povinností, např. z povinnosti ohlašovat porušení zabezpečení dozorovému úřadu (dle článku 33 GDPR).
Pravděpodobnost vzniku škody
Pravděpodobnost stoupá např. s počtem osob zapojených do zpracování osobních údajů a se zapojením třetích stran, pravděpodobnost může zvýšit také historie předchozích incidentů, kdy ke vzniku škody došlo.
Klasifikace možné škody (malá / střední / velká)
Závažnost možné škody je dána zejména mírou citlivosti údajů, objemem zpracovaných osobních údajů, mírou zranitelnosti dotyčné osoby nebo mírou dopadu na ekonomické a společenské poměry dotyčné osoby.
Typizace škody
a. Materiální (např. škoda na majetku zneužitím platebních údajů)
b. Nemateriální (např. poškození dobrého jména, zneužití identity)