Administrator i podmiot przetwarzający zobowiązani są zapewnić bezpieczeństwo przetwarzanych przez siebie danych osobowych poprzez wdrożenie odpowiednich środków organizacyjnych i technicznych.
Wdrożone środki ochrony danych powinny być dostosowane do poziomu ryzyka związanego z przetwarzaniem.
Aby zidentyfikować środki ochrony danych, należy przeprowadzić analizę ryzyka dla przetwarzanych danych. Analiza, w szczególności, powinna określać źródła i charakter ryzyk dla danych, poziom ryzyk oraz środki, które mają na celu mitygować ryzyka.
Analiza ryzyka powinna zostać udokumentowana. Wskazana jest jej okresowa aktualizacja.
Odpowiedni stopień bezpieczeństwa można również zapewnić poprzez wdrożenie rozwiązań przewidzianych w zatwierdzonych kodeksach postępowania lub mechanizmach certyfikacji.
Czym jest obowiązek zapewnienia bezpieczeństwa danych osobowych i na kim on spoczywa?
Obowiązek zapewnienia bezpieczeństwa danych osobowych oznacza obowiązek przeciwdziałania niedozwolonemu lub niezgodnemu z prawem przetwarzaniu danych oraz przypadkowej utracie, zniszczeniu lub uszkodzeniu danych osobowych.
Obowiązek ten spoczywa na każdym administratorze danych osobowych i na każdym podmiocie przetwarzającym dane osobowe.
Co ważne, treść tego obowiązku nie oznacza, że administrator lub podmiot przetwarzający ponoszą odpowiedzialność w każdym przypadku, w którym dojdzie do naruszenia bezpieczeństwa danych. Gdy dojdzie do takiego naruszenia, mogą ponosić odpowiedzialność, jeśli okaże się, że zastosowane przez nich środki ochrony danych były nieodpowiednie. Może się zdarzyć, że do naruszenia bezpieczeństwa dojdzie pomimo zastosowania odpowiednich środków ochrony danych.
Jak zapewnić bezpieczeństwo danych?
Wymagane przez RODO bezpieczeństwo danych osobowych należy zapewnić, wdrażając odpowiednie środki organizacyjne i techniczne ochrony danych.
Czym są środki organizacyjne i techniczne ochrony danych?
Środki organizacyjne i techniczne ochrony danych nie są zdefiniowane w RODO. W praktyce jest to bardzo szerokie pojęcie. Ogólnie rzecz biorąc, można wskazać, że środki organizacyjne i techniczne ochrony danych to wszelkie działania, czynności, rozwiązania wdrożone lub podejmowane przez administratora lub podmiot przetwarzający, które mają na celu zapewnienie odpowiednego bezpieczeństwa danych osobowych. Środkami tego rodzaju mogą być np.:
wewnętrzne procedury,
szkolenia personelu,
postanowienia umowne o poufności,
rozwiązania z zakresu ochrony fizycznej (np. zatrudnienie agencji ochrony, monitoring CCTV, zamykane na klucz drzwi lub szafy pancerne, elektroniczna kontrola dostępu, instalacja przeciwpożarowa),
rozwiązania z zakresu cyberbezpieczeństwa (np. oprogramowanie typu DLP, oprogramowanie antywirusowe, firewalls, szyfrowanie dysków czy komunikacji elektronicznej),
inne rozwiązania IT, np. kopie zapasowe, testy penetracyjne, hasła dostępowe, aktualizacje oprogramowania, układ połączeń sieciowych.
Inne przykłady środków organizacyjnych i technicznych zawarte są w RODO i należą do nich:
pseudonimizacja i szyfrowanie danych osobowych,
zdolność do ciągłego zapewnienia poufności, integralności, dostępności i odporności systemów i usług przetwarzania,
zdolność do szybkiego przywrócenia dostępności danych osobowych i dostępu do nich w razie incydentu fizycznego lub technicznego,
regularne testowanie, mierzenie i ocenianie skuteczności środków technicznych i organizacyjnych mających zapewnić bezpieczeństwo przetwarzania.
Jak wyznaczyć „odpowiednie środki ochrony danych”?
W oparciu o treść decyzji PUODO można wskazać, że PUODO oczekuje od administratorów i podmiotów przetwarzających przeprowadzenia tzw. analizy ryzyka, która doprowadzi do wyznaczenia odpowiednich środków ochrony danych osobowych. Środki te mają być wyznaczone z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
W tym zakresie warto przytoczyć fragmenty decyzji PUODO nr DKN.5131.47.2022 z 18 lipca 2023 r., w której PUODO przedstawił szereg istotnych poglądów dotyczących realizacji obowiązków ochrony danych i stwierdził m.in., że:
Administrator dla prawidłowej realizacji obowiązków wynikających z wyżej przywołanych przepisów rozporządzenia 2016/679 powinien w pierwszej kolejności przeprowadzić analizę ryzyka i na jej podstawie określić i wdrożyć adekwatne środki zapewniające bezpieczeństwo w procesie przetwarzania danych osobowych.
(…) ustalenie odpowiednich środków technicznych i organizacyjnych jest procesem dwuetapowym. W pierwszej kolejności istotnym jest określenie poziomu ryzyka, jakie wiąże się z przetwarzaniem danych osobowych uwzględniając przy tym kryteria wskazane w art. 32 ust. 1 rozporządzenia 2016/679, a następnie należy ustalić, jakie środki techniczne i organizacyjne będą odpowiednie, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. (…) W myśl art. 32 ust. 2 rozporządzenia 2016/679, administrator oceniając, czy stopień bezpieczeństwa jest odpowiedni, uwzględnia w szczególności ryzyko wiążące się z przetwarzaniem, w szczególności wynikające z przypadkowego lub niezgodnego z prawem zniszczenia, utraty, modyfikacji, nieuprawnionego ujawnienia lub nieuprawnionego dostępu do danych osobowych przesyłanych, przechowywanych lub w inny sposób przetwarzanych.
Jedną z podstaw prawnej ochrony danych osobowych wprowadzoną rozporządzeniem 2016/679 jest obowiązek zapewnienia bezpieczeństwa przetwarzanych danych, określony między innymi w art. 32 ust. 1 rozporządzenia 2016/679. Przepis ten wprowadza podejście oparte na ryzyku, wskazując jednocześnie kryteria, w oparciu o które administrator powinien dokonać wyboru odpowiednich środków technicznych i organizacyjnych, aby zapewnić stopień bezpieczeństwa odpowiadający temu ryzyku. Obok ryzyka naruszenia praw lub wolności osób fizycznych należy zatem uwzględnić stan wiedzy technicznej, koszt wdrażania oraz charakter, zakres, kontekst i cele przetwarzania.
Rozporządzenie 2016/679 wprowadziło podejście, w którym zarządzanie ryzykiem jest fundamentem działań związanych z ochroną danych osobowych i ma charakter ciągłego procesu. Podmioty przetwarzające dane osobowe zobligowane są nie tylko do zapewnienia zgodności z wytycznymi ww. rozporządzenia poprzez jednorazowe wdrożenie organizacyjnych i technicznych środków bezpieczeństwa, ale również do zapewnienia ciągłości monitorowania poziomu zagrożeń oraz zapewnienia rozliczalności w zakresie poziomu oraz adekwatności wprowadzonych zabezpieczeń. Oznacza to, że koniecznością staje się możliwość udowodnienia przed organem nadzorczym, że wprowadzone rozwiązania, mające na celu zapewnienie bezpieczeństwa danych osobowych, są adekwatne do poziomu ryzyka, jak również uwzględniają charakter danej organizacji oraz wykorzystywanych mechanizmów przetwarzania danych osobowych. Administrator samodzielnie ma przeprowadzić szczegółową analizę prowadzonych procesów przetwarzania danych i dokonać oceny ryzyka, a następnie zastosować takie środki i procedury, które będą adekwatne do oszacowanego ryzyka. Konsekwencją takiej orientacji jest rezygnacja z list wymagań, w zakresie bezpieczeństwa narzuconych przez prawodawcę, na rzecz samodzielnego doboru zabezpieczeń w oparciu o analizę zagrożeń. Administratorom nie wskazuje się konkretnych środków i procedur w zakresie bezpieczeństwa.
Metodą przeprowadzenia analizy ryzyka jest np. zdefiniowanie poziomu ryzyka jako iloczynu prawdopodobieństwa i skutków wystąpienia danego incydentu. Zazwyczaj wykorzystuje się macierz ryzyka, która pozwala zobrazować poziomy ryzyka w sposób wizualny, przedstawiając poziomy ryzyka, dla których organizacja definiuje odpowiednie działania.
Aby analiza ryzyka została przeprowadzona w sposób właściwy, winny być zdefiniowane dla każdego z aktywów zagrożenia, mogące wystąpić w procesach przetwarzania danych.
Podkreślić również należy, iż badanie prawdopodobieństwa wystąpienia danego zdarzenia nie powinno opierać się wyłącznie na podstawie częstotliwości występowania zdarzeń w danej organizacji, albowiem fakt nie wystąpienia danego zdarzenia w przeszłości wcale nie oznacza, że nie może ono zaistnieć w przyszłości.
W przeprowadzaniu analizy ryzyka dla celów wyznaczenia odpowiednich środków ochrony danych przydatne mogą okazać się uznane normy bezpieczeństwa, takie jak np. ISO 27701.
Rola analizy ryzyka w procesie wyznaczania „odpowiednich środków ochrony danych” z punktu widzenia zgodności z RODO
Analiza ryzyka powinna, z praktycznego punktu widzenia, stanowić m.in. uzasadnienie, dlaczego administrator wdrożył określone środki ochrony danych w swojej organizacji i dlaczego uważa je za „odpowiednie” w rozumieniu art. 32 RODO. Analiza powinna być dość szczegółowa i odnosić się do wszystkich procesów przetwarzania danych zachodzących w organizacji.
Przeprowadzenie analizy ryzyka w praktyce jest zadaniem stosunkowo trudnym i pracochłonnym, które wymaga zaangażowania osób z różnych pionów organizacji, w tym zajmujących się bezpieczeństwem, zagadnieniami prawnymi czy IT.
Dokumentowanie analizy ryzyka
Z uwagi na zasadę rozliczalności przeprowadzenie analizy ryzyka powinno zostać udokumentowane. Dzięki temu administrator i podmiot przetwarzający będą w stanie wykazać (np. w przypadku kontroli organu nadzorczego), że zastosowane przez nich środki ochrony danych zostały dostosowane do poziomu ryzyka naruszenia praw lub wolności osób fizycznych związanych z prowadzonym przez nich przetwarzaniem.
Brak udokumentowania analizy ryzyka może narazić administratora i podmiot przetwarzający na zarzut naruszenia RODO. Tego rodzaju zarzuty PUODO formułował np. w następujących sprawach:
Wewnętrzne polityki dotyczące przetwarzania danych osobowych
Zgodnie z RODO
Aby móc wykazać przestrzeganie niniejszego rozporządzenia, administrator powinien przyjąć wewnętrzne polityki i wdrożyć środki, które są zgodne w szczególności z zasadą uwzględniania ochrony danych w fazie projektowania oraz z zasadą domyślnej ochrony danych.
Z praktycznego punktu widzenia przywołany przepis powoduje m.in., że administrator oraz podmiot przetwarzający powinni opracować i wdrożyć wewnętrzne polityki dotyczące przetwarzania danych, które będą skierowane do ich personelu i będą nakładać na członków personelu obowiązki zapewniające przetwarzanie danych osobowych zgodne z RODO.
RODO nie precyzuje, jaką treść powinny mieć tego rodzaju polityki. Wydaje się, że tak jak w przypadku innych środków ochrony danych, treść polityk powinna być opracowana, w szczególności, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania prowadzonego przez dany podmiot oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Przy opracowywaniu tego rodzaju polityk pomocne mogą okazać się wytyczne PUODO zawarte w artykule opublikowanym przez PUODO pt. „Dokumentacja przetwarzania danych osobowych zgodnie z RODO”. Pokazują one, jakiego rodzaju kwestie i w jaki sposób powinny być, zdaniem PUODO, uregulowane w tego rodzaju wewnętrznych dokumentach.
Kto odpowiada za wyznaczenie i wdrożenie środków ochrony danych?
RODO nie określa wyraźnie, kto w ramach organizacji odpowiada za wdrożenie odpowiednich środków ochrony danych osobowych. Z uwagi na zasadę rozliczalności oraz by zwiększyć efektywność działań w zakresie wdrażania środków ochrony danych, wskazane jest, by administrator i podmiot przetwarzający wyznaczyli w ramach organizacji konkretne osoby (stanowiska), które będą odpowiadać za wyznaczanie i wdrażanie środków ochrony danych w ramach całej organizacji lub poszczególnych jej pionów. Ze względu na potencjalny konflikt interesów osobą tą nie powinien być inspektor ochrony danych.
Aktualizacja analizy ryzyka i środków ochrony danych
Aby analiza ryzyka w pełni spełniała swoją rolę, a administrator mógł twierdzić, że działa zgodnie z wymogami art. 32 RODO, analiza ryzyka powinna być aktualizowana w przypadku zaistnienia zmian mających znaczenie dla jej wyników, np. w przypadku:
zmiany przepisów,
zmiany okoliczności faktycznych związanych z przetwarzaniem – np. wdrożenia nowych lub zmiany istniejących procesów przetwarzania, zmiany rozwiązań technicznych wykorzystywanych w przetwarzaniu danych (np. wdrożenia nowych rozwiązań IT),
wykrycia nowych zagrożeń.
Konieczne ponadto jest bieżące testowanie wdrożonych środków, by sprawdzić ich skuteczność i wykryć ewentualne potrzeby zmian.
Jeśli zaktualizowana analiza ryzyka wykaże, że wdrożone dotychczas środki ochrony danych wymagają zmian lub konieczne jest wdrożenie nowych rozwiązań, administrator i podmiot przetwarzający powinni wprowadzić odpowiednie zmiany lub wdrożyć takie nowe rozwiązania.
Jak wskazano w decyzji PUODO nr DKN.5131.47.2022 z 18 lipca 2023 r.,
Nowe ryzyka lub zagrożenia mogą zmaterializować się lub zostać ujawnione również samoistnie, w sposób całkowicie niezależny od administratora i jest to fakt, który również powinien być brany pod uwagę zarówno podczas budowania systemu ochrony danych osobowych, jak i w czasie jego realizowania. To zaś z kolei definiuje konieczność prowadzenia regularnej weryfikacji całego systemu ochrony danych osobowych zarówno pod kątem adekwatności, jak i skuteczności wdrożonych rozwiązań organizacyjnych i technicznych, w ramach zarówno przeprowadzanej analizy ryzyka, jak i regularnego testowania, mierzenia i oceniania skuteczności środków technicznych i organizacyjnych, mających zapewnić bezpieczeństwo przetwarzania.
Ocena skutków dla ochrony danych a analiza ryzyka
Analiza ryzyka, o której mowa powyżej, jest co do zasady innym działaniem niż ocena skutków dla ochrony danych, o której mowa w art. 35 ust. 1 RODO. Jeśli dany proces przetwarzania danych spełnia kryteria, o których mowa w art. 35 ust. 1 RODO, ocena skutków dla ochrony danych powinna być przeprowadzona dla takiego procesu obok i niezależnie od analizy ryzyka. Nie wyklucza to, że oba działania będą faktycznie przeprowadzone łącznie i objęte np. jednym dokumentem (pod warunkiem, że dokument ten będzie spełniał rolę analizy ryzyka i wymogi przewidziane w art. 35 RODO).
Zapewnienie bezpieczeństwa danych poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji
Jeśli określone przetwarzanie danych osobowych objęte jest tzw. kodeksem postępowania (patrz komentarz do art. 40 RODO) zatwierdzonym przez organ nadzorczy lub mechanizmem certyfikacji (patrz komentarz do art. 42 RODO), administrator lub podmiot przetwarzający może wdrożyć w ramach swojej organizacji tego rodzaju rozwiązania, np. przyjmując dany kodeks postępowania i organizując przetwarzanie danych zgodnie z wymaganiami i warunkami opisanymi w takim kodeksie.
Jeśli administrator lub podmiot przetwarzający przestrzegają wymagań i warunków przetwarzania opisanych w takim kodeksie (w szczególności w zakresie przewidzianych w kodeksie środków ochrony danych), można twierdzić, że wdrożone przez nich środki ochrony danych odpowiadają wymaganiom art. 32 RODO (w szczególności bez konieczności przeprowadzenia w tym zakresie analizy ryzyka, chyba że sam kodeks wymaga jej przeprowadzenia).
Komentarz do art. 32
Bezpieczeństwo przetwarzania
Czym jest obowiązek zapewnienia bezpieczeństwa danych osobowych i na kim on spoczywa?
Obowiązek zapewnienia bezpieczeństwa danych osobowych oznacza obowiązek przeciwdziałania niedozwolonemu lub niezgodnemu z prawem przetwarzaniu danych oraz przypadkowej utracie, zniszczeniu lub uszkodzeniu danych osobowych.
Obowiązek ten spoczywa na każdym administratorze danych osobowych i na każdym podmiocie przetwarzającym dane osobowe.
Co ważne, treść tego obowiązku nie oznacza, że administrator lub podmiot przetwarzający ponoszą odpowiedzialność w każdym przypadku, w którym dojdzie do naruszenia bezpieczeństwa danych. Gdy dojdzie do takiego naruszenia, mogą ponosić odpowiedzialność, jeśli okaże się, że zastosowane przez nich środki ochrony danych były nieodpowiednie. Może się zdarzyć, że do naruszenia bezpieczeństwa dojdzie pomimo zastosowania odpowiednich środków ochrony danych.
Jak zapewnić bezpieczeństwo danych?
Wymagane przez RODO bezpieczeństwo danych osobowych należy zapewnić, wdrażając odpowiednie środki organizacyjne i techniczne ochrony danych.
Czym są środki organizacyjne i techniczne ochrony danych?
Środki organizacyjne i techniczne ochrony danych nie są zdefiniowane w RODO. W praktyce jest to bardzo szerokie pojęcie. Ogólnie rzecz biorąc, można wskazać, że środki organizacyjne i techniczne ochrony danych to wszelkie działania, czynności, rozwiązania wdrożone lub podejmowane przez administratora lub podmiot przetwarzający, które mają na celu zapewnienie odpowiednego bezpieczeństwa danych osobowych. Środkami tego rodzaju mogą być np.:
Inne przykłady środków organizacyjnych i technicznych zawarte są w RODO i należą do nich:
Jak wyznaczyć „odpowiednie środki ochrony danych”?
W oparciu o treść decyzji PUODO można wskazać, że PUODO oczekuje od administratorów i podmiotów przetwarzających przeprowadzenia tzw. analizy ryzyka, która doprowadzi do wyznaczenia odpowiednich środków ochrony danych osobowych. Środki te mają być wyznaczone z uwzględnieniem stanu wiedzy technicznej, kosztów wdrażania oraz charakteru, zakresu, kontekstu i celu przetwarzania oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
W tym zakresie warto przytoczyć fragmenty decyzji PUODO nr DKN.5131.47.2022 z 18 lipca 2023 r., w której PUODO przedstawił szereg istotnych poglądów dotyczących realizacji obowiązków ochrony danych i stwierdził m.in., że:
W przeprowadzaniu analizy ryzyka dla celów wyznaczenia odpowiednich środków ochrony danych przydatne mogą okazać się uznane normy bezpieczeństwa, takie jak np. ISO 27701.
Wskazówki dotyczące analizy ryzyka można znaleźć w poradnikach opracowanych przez PUODO.
Rola analizy ryzyka w procesie wyznaczania „odpowiednich środków ochrony danych” z punktu widzenia zgodności z RODO
Analiza ryzyka powinna, z praktycznego punktu widzenia, stanowić m.in. uzasadnienie, dlaczego administrator wdrożył określone środki ochrony danych w swojej organizacji i dlaczego uważa je za „odpowiednie” w rozumieniu art. 32 RODO. Analiza powinna być dość szczegółowa i odnosić się do wszystkich procesów przetwarzania danych zachodzących w organizacji.
Przeprowadzenie analizy ryzyka w praktyce jest zadaniem stosunkowo trudnym i pracochłonnym, które wymaga zaangażowania osób z różnych pionów organizacji, w tym zajmujących się bezpieczeństwem, zagadnieniami prawnymi czy IT.
Dokumentowanie analizy ryzyka
Z uwagi na zasadę rozliczalności przeprowadzenie analizy ryzyka powinno zostać udokumentowane. Dzięki temu administrator i podmiot przetwarzający będą w stanie wykazać (np. w przypadku kontroli organu nadzorczego), że zastosowane przez nich środki ochrony danych zostały dostosowane do poziomu ryzyka naruszenia praw lub wolności osób fizycznych związanych z prowadzonym przez nich przetwarzaniem.
Brak udokumentowania analizy ryzyka może narazić administratora i podmiot przetwarzający na zarzut naruszenia RODO. Tego rodzaju zarzuty PUODO formułował np. w następujących sprawach:
https://uodo.gov.pl/decyzje/DKN.5131.8.2021,
https://uodo.gov.pl/decyzje/DKN.5131.47.2022.
Wewnętrzne polityki dotyczące przetwarzania danych osobowych
Zgodnie z RODO
Z praktycznego punktu widzenia przywołany przepis powoduje m.in., że administrator oraz podmiot przetwarzający powinni opracować i wdrożyć wewnętrzne polityki dotyczące przetwarzania danych, które będą skierowane do ich personelu i będą nakładać na członków personelu obowiązki zapewniające przetwarzanie danych osobowych zgodne z RODO.
RODO nie precyzuje, jaką treść powinny mieć tego rodzaju polityki. Wydaje się, że tak jak w przypadku innych środków ochrony danych, treść polityk powinna być opracowana, w szczególności, z uwzględnieniem charakteru, zakresu, kontekstu i celu przetwarzania prowadzonego przez dany podmiot oraz ryzyka naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie wystąpienia i wadze.
Przy opracowywaniu tego rodzaju polityk pomocne mogą okazać się wytyczne PUODO zawarte w artykule opublikowanym przez PUODO pt. „Dokumentacja przetwarzania danych osobowych zgodnie z RODO”. Pokazują one, jakiego rodzaju kwestie i w jaki sposób powinny być, zdaniem PUODO, uregulowane w tego rodzaju wewnętrznych dokumentach.
Kto odpowiada za wyznaczenie i wdrożenie środków ochrony danych?
RODO nie określa wyraźnie, kto w ramach organizacji odpowiada za wdrożenie odpowiednich środków ochrony danych osobowych. Z uwagi na zasadę rozliczalności oraz by zwiększyć efektywność działań w zakresie wdrażania środków ochrony danych, wskazane jest, by administrator i podmiot przetwarzający wyznaczyli w ramach organizacji konkretne osoby (stanowiska), które będą odpowiadać za wyznaczanie i wdrażanie środków ochrony danych w ramach całej organizacji lub poszczególnych jej pionów. Ze względu na potencjalny konflikt interesów osobą tą nie powinien być inspektor ochrony danych.
Aktualizacja analizy ryzyka i środków ochrony danych
Aby analiza ryzyka w pełni spełniała swoją rolę, a administrator mógł twierdzić, że działa zgodnie z wymogami art. 32 RODO, analiza ryzyka powinna być aktualizowana w przypadku zaistnienia zmian mających znaczenie dla jej wyników, np. w przypadku:
Konieczne ponadto jest bieżące testowanie wdrożonych środków, by sprawdzić ich skuteczność i wykryć ewentualne potrzeby zmian.
Jeśli zaktualizowana analiza ryzyka wykaże, że wdrożone dotychczas środki ochrony danych wymagają zmian lub konieczne jest wdrożenie nowych rozwiązań, administrator i podmiot przetwarzający powinni wprowadzić odpowiednie zmiany lub wdrożyć takie nowe rozwiązania.
Jak wskazano w decyzji PUODO nr DKN.5131.47.2022 z 18 lipca 2023 r.,
Ocena skutków dla ochrony danych a analiza ryzyka
Analiza ryzyka, o której mowa powyżej, jest co do zasady innym działaniem niż ocena skutków dla ochrony danych, o której mowa w art. 35 ust. 1 RODO. Jeśli dany proces przetwarzania danych spełnia kryteria, o których mowa w art. 35 ust. 1 RODO, ocena skutków dla ochrony danych powinna być przeprowadzona dla takiego procesu obok i niezależnie od analizy ryzyka. Nie wyklucza to, że oba działania będą faktycznie przeprowadzone łącznie i objęte np. jednym dokumentem (pod warunkiem, że dokument ten będzie spełniał rolę analizy ryzyka i wymogi przewidziane w art. 35 RODO).
Zapewnienie bezpieczeństwa danych poprzez stosowanie zatwierdzonego kodeksu postępowania lub zatwierdzonego mechanizmu certyfikacji
Jeśli określone przetwarzanie danych osobowych objęte jest tzw. kodeksem postępowania (patrz komentarz do art. 40 RODO) zatwierdzonym przez organ nadzorczy lub mechanizmem certyfikacji (patrz komentarz do art. 42 RODO), administrator lub podmiot przetwarzający może wdrożyć w ramach swojej organizacji tego rodzaju rozwiązania, np. przyjmując dany kodeks postępowania i organizując przetwarzanie danych zgodnie z wymaganiami i warunkami opisanymi w takim kodeksie.
Jeśli administrator lub podmiot przetwarzający przestrzegają wymagań i warunków przetwarzania opisanych w takim kodeksie (w szczególności w zakresie przewidzianych w kodeksie środków ochrony danych), można twierdzić, że wdrożone przez nich środki ochrony danych odpowiadają wymaganiom art. 32 RODO (w szczególności bez konieczności przeprowadzenia w tym zakresie analizy ryzyka, chyba że sam kodeks wymaga jej przeprowadzenia).