Problematyka ryzyka związanego z procesami przetwarzania danych osobowych ma kluczowe znaczenie wg RODO. Ma to związek ze zmianą filozofii i położeniem nacisku na zapobieganiu sytuacji kryzysowych w związku z przetwarzaniem danych osobowych.
RODO wprowadza w tym zakresie nowe pojęcie, a mianowicie tzw. ocenę skutków dla ochrony danych. Jakie elementy musi ona zawierać mówi o tym bezpośrednio art. 35 RODO, a mianowicie:
Art. 35 ust. 1
Jeżeli dany rodzaj przetwarzania – w szczególności z użyciem nowych technologii – ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych. Dla podobnych operacji przetwarzania danych wiążących się z podobnym wysokim ryzykiem można przeprowadzić pojedynczą ocenę.
Art. 35 ust. 2
Dokonując oceny skutków dla ochrony danych, administrator konsultuje się z inspektorem ochrony danych, jeżeli został on wyznaczony.
Art. 35 ust. 3
Ocena skutków dla ochrony danych, o której mowa w ust. 1, jest wymagana w szczególności w przypadku:
a) systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
b) przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
c) systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Odnosząc się do działalności leczniczej. Takie oceny skutków będą musiały przeprowadzić z pewnością szpitale i duże podmioty lecznicze. Nie doprecyzowano na chwilę obecną, co jest definicją przetwarzania na „dużą skalę”. Obowiązujące wytyczne mówią, że takim przetwarzaniem są wszystkie operacje wykonywane na danych osobowych, których nie wykonuje pojedynczy lekarz w swojej praktyce lekarskiej. W trakcie prac nad kodeksem branżowym pojawiają się próby dodania innych kryteriów, które mogą rozszerzyć to ograniczenie definicyjne o małe podmioty lecznicze czy grupowe praktyki lekarskie, ale jest to etap dyskusji, która nie musi zakończyć się po myśli.
Jednak nawet korzystne rozwiązania legislacyjne kodeksu branżowego czy też brak obowiązku wykonania takiej oceny skutków dla indywidualnych praktyk lekarskich nie zwalnia administratorów do odniesienia się do ryzyka w swojej działalności. Jest to motyw przewodni przepisów wprowadzających całość RODO i dodając do tego spoczywający na administratorach obowiązek wykazania się stosowaniem przepisów RODO, więc nasuwa się wniosek, że analizę ryzyka w ograniczonym zakresie będzie musiał przeprowadzić każdy, a jeśli nawet nie jest to taki jednoznaczny obowiązek, to pewnie sporządzenie takiej analizy będzie czynnikiem korzystnym podczas ewentualnych kontroli. Analizę ryzyka można przeprowadzać według kilku sposobów. Najpowszechniejszymi metodami są te, które wynikają z norm ISO, jednak są one bardzo skomplikowane. Wobec tego samorząd lekarski opracuje przykładowy model analizy ryzyka, jednak jak przy wszystkich tego typu szablonach, będzie on wymagał indywidualnej analizy i pracy ze strony lekarzy i lekarzy dentystów. Możliwe również, że pomocny okaże się w tej tematyce kodeks branżowy.