Wszystko to pozwoli zidentyfikować rodzaje operacji przetwarzania, które ze względu np. na posłużenie się nowymi technologiami, czy skalę przetwarzania, mogą implikować pewne ryzyka. Jeszcze przed rozpoczęciem przetwarzania, a zatem przed uzyskaniem danych od użytkownika, niezbędne może okazać się dokonanie oceny skutków dla ochrony danych (art. 35 RODO), którego celem jest określenie prawdopodobieństwa i powagi tego naprowadzonego ryzyka, przy uwzględnieniu charakteru, zakresu, kontekstu i celów przetwarzania oraz źródła ryzyka. Ocena skutków powinna w szczególności obejmować planowane środki, zabezpieczenia i mechanizmy mające minimalizować dane ryzyko, zapewniać ochronę danych osobowych, a w końcu, w myśl koronnej zasady rozliczalności, pozwoli wykazać przestrzeganie RODO.
Projekty i ustawienia
Dążąc do osiągnięcia dobrych praktyk prywatności, już na etapie projektowania systemu przetwarzania danych zadbać należy, aby wprowadzone do niego zostały odpowiednie rozwiązania, które zapewnią ochronę danych użytkowników i zagwarantują, że proces przetwarzania następował będzie w zgodzie z RODO. Mowa o zasadzie prywatności w fazie projektowania (privacy by design – art. 25 ust. 1 RODO), która każe aktywnie uwzględniać szereg przesłanek, o różnym prawdopodobieństwie występowania i wadze zagrożenia. I tak, biorąc pod uwagę stan wiedzy technicznej, koszt wdrażania, a także charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych, administrator winien wdrożyć środki techniczne oraz organizacyjne w celu wykluczenia ryzyka naruszeń. Rozwiązania te winny być przy tym jak najlepiej dostosowane do rzeczywistych potrzeb administratora, to znaczy powinny być „szyte na miarę" danego procesu przetwarzania. Stąd, wstępnie względem projektowania systemu, nastąpić powinna ocena możliwych ryzyk i ich wpływu na ochronę danych.
Przeprowadzenie oceny przez pryzmat wskazanych powyżej wymogów ma miejsce również w stosunku do systemu, który już funkcjonuje. W tym zakresie, automatyzm przetwarzania wymaga przyjęcia założenia wstępnego w postaci najszerszej możliwej ochrony prywatności. Oznacza to, że ograniczenie prywatności użytkownika nastąpić może wyłącznie z jego własnej inicjatywy, i musi przyjąć postać podjęcia określonej aktywności (zasada prywatności w ustawieniach domyślnych – privacy by default).
Ciekawą alternatywą dla wykazania spełnienia wymogów standardu poszanowania prywatności tak w fazie projektowania, jak i sprawdzania adekwatności zakresu przetwarzania danych w systemie (ustawień domyślnych) będzie mechanizm certyfikacji. Trudno ocenić czy administratorzy będą powszechnie decydowali się na certyfikowanie swoich systemów, głównym zagrożeniem jest fakt, iż uzyskanie certyfikatu nie zwalnia administratora z przestrzegania wymogów rozporządzenia (art. 42 ust. 4 RODO).
Zmiany w dokumentacji
Przebudowa prawnych ram ochrony danych nie spowoduje całkowitego zdezaktualizowania się dokumentacji dotyczącej przetwarzania, obowiązującej w organizacjach w myśl aktualnych przepisów. W tym zakresie RODO wprowadza jednak wymóg legitymowania się nowymi, dodatkowymi dokumentami.
Aktualnie na administratorze danych spoczywa obowiązek posiadania polityki bezpieczeństwa oraz instrukcji zarządzania systemem informatycznym. Rolą pierwszego dokumentu jest wskazanie środków bezpieczeństwa i procedur bezpiecznego przetwarzania informacji. Tam znajdziemy wykaz fizycznych i technicznych zabezpieczeń, miejsc, gdzie dane są przetwarzane oraz programów zastosowanych do przetwarzania danych osobowych. Instrukcja ma zaś na celu uporządkowanie procedur w zakresie nadawania uprawnień, uwierzytelniania, tworzenia narzędzi programowych
