Otevřená data přinášejí i rizika. Závažná rizika je proto nutno dopředu identifikovat, aby bylo možné je řídit, až budou data otevřena. Analýzu rizik opět provádějí Koordinátor otevírání dat s Kurátory dat.
Při analýze rizik doporučujeme postupovat následovně:
Pro datové sady uvedené ve vzorovém publikačním plánu jsou rizika identifikována a můžete je převzít.
Pokud jste do seznamu přidali vlastní datové sady, ohodnoťte pásmově (0 - žádné riziko, 1 - nízké riziko, 2 - střední riziko, 3 - významné riziko) následující rizika:
1. Zveřejnění dat v rozporu se zákonem - vždy nutno ověřit, zda publikaci datové sady nebrání související legislativa;
2. Porušení ochrany obchodního tajemství - dále je nutno zvážit, zda publikace datové sady neporušuje obchodní tajemství, specifikované např. ve smlouvě s dodavatelem;
3. Porušení ochrany osobních údajů - je nutno ověřit, zda součástí otevřených dat nejsou chráněné osobní údaje;
4. Zveřejnění nevhodných dat či informací - je třeba zvážit, zda publikovaná data nebudou mít negativní dopady, např. z hlediska kvality publikovaných dat;
5. Dezinterpretace dat - zvážit, zda otevřená data nebude možno dezinterpretovat, např. nevysvětlením používaných pojmů;
6. Absence konzumentů dat - ověřit, zda je o publikovaná data zájem ze strany budoucích uživatelů dat;
7. Překrývání dat - ověřit, zda se datové sady nemohou překrývat s jinými již publikovanými datovými sadami.
8. Ohrožení bezpečnosti státu / majetku / osob - ověřit, zda datové sady nemohou ohrozit bezpečnost státu, majetku a nebo osob.
Celkové zhodnocení rizikovosti datové sady musí být následováno návrhem opatření pro eliminaci či omezení pravděpodobnosti výskytu nebo negativního dopadu rizik. Možná opatření pro zmírnění rizik:
Anonymizace/agregace dat (rizika č. 1, 2, 3, 8) - pokud nelze poskytnout data primární kvůli požadavkům na jejich ochranu či bezpečnostní požadavky, je vhodné zvážit, zda lze publikovat alespoň anonymizovaná data či statistiky;
Při zveřejňování datové sady, která obsahuje osobní údaje (riziko č. 3) je třeba dbát zvýšené opatrnosti. Obecně v tomto případě až na úplné výjimky platí, že pokud neexistuje zákonná povinnost taková data zveřejnit, tak se zveřejnit nemohou. V případech, že zákonná povinnost existuje, je možné osobní údaje zveřejnit vzhledem k nutnosti splnění takové povinnosti. V takových případech je pak doporučeno umístit do popisu datové sady následující sdělení určené příjemcům dat: Poskytovaná datová sada obsahuje osobní údaje ve smyslu zákona č. 101/2000 Sb., o ochraně osobních údajů a o změně některých zákonů. Příjemce této datové sady se stává správcem osobních údajů. Vzhledem k tomu musí plnit zákonné povinnosti, které mu z účinné právní úpravy ochrany osobních údajů vyplývají.
Návrh vhodné komunikační strategie (rizika č. 4, 6) - určení jak bude o datové sadě informováno, identifikovat potenciální negativní reakce a připravit odpovědi. Oslovení cílových skupin uživatelů dat;
Vytvoření vhodných metadat a doplňujících informací (riziko č. 5) - uvést do metadat popis předpokladů a omezení využití dat. Publikovat doplňující informace – např. metodiku pořízení a zpracování dat, použité výpočty, definice ukazatelů apod.;
Vhodné vymezení datové sady a propojení na související datové sady (riziko č. 7) - vymezení datové sady s ohledem na minimalizaci překryvů s jinými datovými sadami. Využití již publikovaných datových sad. Propojování na související datové zdroje.