RODO skupia się przede wszystkim na przetwarzaniu dużych zbiorów danych osobowych, szczególnie przy użyciu nowych technologii, a więc IT. Jednocześnie RODO promuje zarządzanie oparte na ryzyku. Tymczasem zarządzanie ryzykiem w firmie, szczególnie dużej firmie, realizowane jest zazwyczaj w systemie ERM (Enterprise Risk Management), czasem nazywanym ryzykiem korporacyjnym. W ramach ERM ryzyko jest rozkładane na czynniki ryzyka, które pozwalają zrozumieć istotę konkretnego ryzyka. I tak dochodzimy do ryzyka RODO oraz koniecznością przełożenia go na konkretne czynniki.

Zarządzanie oparte na ryzyku promowane w ramach RODO nakazuje analizować i uwzględniać ryzyko praw i wolności osób. I tak jak pisałem we wpisie Ryzyko IT w kontekście RODO, skupia się przede wszystkim na ryzyku związanym z ochroną interesów osób i ich prywatności, a w szczególności osób będących na granicy naszej organizacji, np. naszych klientów. Musimy tu pamiętać, że kluczowym dla naruszenia prywatności danych nie jest ujawnienie danych zidentyfikowanej osoby, a kontekst przetwarzania tych danych, czyli powiązanie konkretnej osoby z określoną czynnością. Przykładowo, jeżeli wyciekną dane identyfikacyjne osoby, np. Jana Kowala urodzonego w Sandomierzu 12 lipca 1956 roku (przyp. autora -dane zmyślone) to portal z którego wyciekły będzie miał ogromny wpływ na prywatność, np. jeżeli dane wyciekną z darmowej poczty elektronicznej będzie miało zupełnie inne znaczenie, niż gdy dane wyciekną z serwisu randkowego (nawet niezbyt znanego).

Biorąc powyższe pod uwagę, musimy przyjrzeć się czynnikom ryzyka jakie chcielibyśmy obserwować w ramach ERM w kontekście ryzyka RODO. Poniżej zebrałem propozycję czynników ryzyka jakie moim zdaniem dobrze oddają zarówno kontekst RODO jak i potrzeby ERM.

1. ryzyko naruszenia wizerunku/marki firmy, wynikające z:
   • wycieku danych,
   • kradzieży danych,
   • błędów przetwarzania danych,
   • ostrzeżenia lub nagany nałożonej przez organ nadzoru: krajowy – UODO lub zagraniczny;
2. ryzyko naruszenia efektywności procesów biznesowych firmy, wynikające z:
   • konieczności realizacji zawieszenia przetwarzania danych,
   • obsługi znacznej liczby pozwów o naruszenie ochrony danych osobowych,
   • skutecznych ataków socjotechnicznych na pracowników;
3. ryzyko naruszenia cyberbezpieczeństwa;
4. ryzyko odszkodowań dla osób (podmiotów danych);
5. ryzyko kary finansowej nałożonej przez organ nadzoru: krajowy – UODO lub zagraniczny.

Podsumowując, ryzyko związane z RODO wpływa na poziom ryzyka firmy – musi zatem być uwzględniony w procesach zarządzania ryzykiem.