RODO wymaga, aby administrator danych osobowych oszacował, jakie ryzyko wiąże się z konkretnymi operacjami przetwarzania danych, które wykonuje. Jednocześnie musi indywidualnie dobrać odpowiednie dla siebie środki techniczne i organizacyjne, które będą służyć właściwemu przetwarzaniu danych. Oto jak to zrobić.

Jednym ze sposobów przeprowadzenia oceny ryzyka jest wdrożenie procesu zarządzania ryzykiem w organizacji. Wdrażając taki proces, pamiętaj, że:

jeżeli wyznaczono inspektora ochrony danych, jego zadaniem jest pełnienie co najmniej funkcji doradczej w procesie zarządzania ryzykiem i kontakt z innymi pracownikami (np. z działu IT), a także, w miarę potrzeby, z Prezesem Urzędu Ochrony Danych Osobowych;
proces zarządzania ryzykiem powinien być wpisany w proces zarządzania organizacją (jeżeli sporządzając analizę ryzyka korzystamy z gotowych opracowań, należy je dostosować do specyfiki naszej placówki);
w dużych placówkach o złożonej strukturze rozważ wyznaczenie zespołu odpowiedzialnego za proces zarządzania ryzykiem – w jego skład możesz powołać np. koordynatora zespołu, inspektora ochrony danych, właścicieli procesów biznesowych czy też ekspertów dziedzinowych (np. ekspertów ds. bezpieczeństwa informacji, ekspertów ds. bezpieczeństwa fizycznego itp.);
w proces zarządzania ryzykiem włącz wszystkich pracowników i ściśle z nimi współpracuj (np. przez doszkalanie, raportowanie, analizę oddolnych propozycji rozwiązań);
proces zarządzania ryzykiem powinien być stale monitorowany i doskonalony.