Zgodnie z art. 32 i motywem 83 rozporządzenia ogólnego jednym z najbardziej istotnych elementów wpływających na przetwarzanie danych jest ocena ryzyka. Oczywiście może przyjąć podejście ilościowe lub jakościowe do ryzyka, budując kolejny mocno sformalizowany katalog zamierzeń wymagający nakładu czasu i użycia zasobów. Wykonanie analiz ryzyka, jego ocena i szacowanie przynoszą wielu Administratorom wiele trudności wynikających z :
a) braku adekwatnej metodyki analizy ryzyka, idącej bardzo daleko w kierunku teorii ryzyka,
b) nieadekwatnego katalogu ryzyka i podatności,
c) kolejnej formalizacji w organizacji,
d) niezrozumienia roli oceny ( szacowania ryzyka) w procesach przetwarzania danych.
W konsekwencji w części organizacji robimy ocenę ryzyka bo musimy ( tak na półkę ) lub powierzamy jej wykonanie podmiotom zewnętrznym, których działania nie zawsze są komplementarne ze środowiskiem przetwarzania.
W praktyce ochrony danych osobowych korzystałem z wielu metod oceny ( szacowani) ryzyka przy użyciu narzędzi profesjonalnych szablonów i arkuszy. Jednakże najbardziej sprawdza się metoda praktyczna – narad kierowniczych poświęconych poszczególnym procesom przetwarzania. Polega ona między innymi na omówieniu przez właściciela procesu szczegółowego omówienia procesu czynności przetwarzania przy współudziale i wsparciu innych uczestników procesu ( informatycy, archiwiści, osoby odpowiedzialne za obieg dokumentów i inni kierownicy). Efektem takich narad jest zdefiniowanie całego procesu przetwarzania danych, stworzenie własnego, tożsamego organizacji katalogu ryzyk oraz zdefiniowanie podatności. Oczywiście działając zgodnie z normą ISO/ PN 31000 warto omówić też inne zagrożenia.
Jaka korzyść dla organizacji – prosta i autonomiczna analiza dzięki której powstaje adekwatnych plan postępowania z ryzykiem zidentyfikowanym przez procesorów.
Czyli bliższa koszula ciału.