DPIA — ocena skutków dla ochrony danych krok po kroku (art. 35 GDPR)

Ocena skutków dla ochrony danych (ang. Data Protection Impact Assessment — DPIA) to jedno z najważniejszych narzędzi zarządzania ryzykiem w systemie RODO. Obowiązek przeprowadzenia DPIA dotyczy sytuacji, w których przetwarzanie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych — a takich sytuacji w praktyce jest znacznie więcej, niż wielu administratorów zakłada. Procedurę zgłaszania naruszeń opisujemy w osobnym artykule.

Wdrożenie nowego systemu monitoringu, uruchomienie platformy e-commerce z profilowaniem klientów, zastosowanie algorytmów AI w procesie rekrutacji, wprowadzenie systemu kontroli dostępu opartego na biometrii — każdy z tych scenariuszy wymaga DPIA. A brak jej przeprowadzenia, gdy była wymagana, to samo w sobie naruszenie RODO, za które UODO może nałożyć karę.

W tym artykule wyjaśniam, czym jest DPIA, kiedy jest obowiązkowa, jak ją przeprowadzić krok po kroku i jakie błędy najczęściej popełniają organizacje.

Czym jest DPIA?

DPIA to systematyczna analiza planowanego przetwarzania danych osobowych, której celem jest ocena, czy przetwarzanie może powodować wysokie ryzyko dla praw i wolności osób fizycznych, oraz określenie środków, które to ryzyko zminimalizują.

DPIA jest uregulowana w art. 35 RODO. Nie jest to jednorazowy dokument, który się tworzy i odkłada na półkę — to proces, który powinien towarzyszyć planowaniu i wdrażaniu każdego przetwarzania danych o podwyższonym ryzyku, a następnie być regularnie aktualizowany.

Warto podkreślić, że DPIA przeprowadza się przed rozpoczęciem przetwarzania — nie po fakcie. Jest to narzędzie prewencyjne, nie naprawcze.

Kiedy DPIA jest obowiązkowa?

Art. 35 ust. 1 RODO stanowi, że DPIA jest wymagana, gdy dany rodzaj przetwarzania — w szczególności z użyciem nowych technologii — ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Art. 35 ust. 3 RODO wymienia trzy konkretne sytuacje, w których DPIA jest zawsze obowiązkowa:

1. Systematyczne, kompleksowe profilowanie z automatycznym podejmowaniem decyzji, które wywołuje wobec osoby skutki prawne lub podobnie istotne — np. automatyczna ocena zdolności kredytowej, algorytmiczna selekcja kandydatów w rekrutacji, systemy scoringowe.

2. Przetwarzanie na dużą skalę danych szczególnych kategorii (art. 9 GDPR) lub danych dotyczących wyroków skazujących (art. 10 GDPR) — np. szpital przetwarzający dane medyczne pacjentów, firma ubezpieczeniowa analizująca dane zdrowotne.

3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie — np. monitoring wizyjny centrum handlowego, systemy rozpoznawania twarzy w przestrzeni publicznej.

Ponadto EDPB w wytycznych WP 248 (rev.01) wskazał 9 kryteriów, które pomagają ocenić, czy przetwarzanie wymaga DPIA. Jeśli spełnione są przynajmniej dwa z nich, DPIA jest z reguły wymagana:

  1. Ocena lub scoring (w tym profilowanie i prognozowanie)
  2. Automatyczne podejmowanie decyzji wywołujące skutki prawne
  3. Systematyczne monitorowanie
  4. Dane wrażliwe lub dane o charakterze wysoce osobistym
  5. Przetwarzanie danych na dużą skalę
  6. Łączenie lub zestawianie zbiorów danych
  7. Dane dotyczące osób wymagających szczególnej ochrony (dzieci, pracownicy, pacjenci)
  8. Innowacyjne wykorzystanie lub zastosowanie nowych rozwiązań technologicznych
  9. Przetwarzanie uniemożliwiające osobom korzystanie z prawa lub usługi

Lista UODO — oprócz powyższych kryteriów, Prezes UODO opublikował wykaz rodzajów operacji przetwarzania wymagających DPIA w polskim porządku prawnym. Lista obejmuje m.in.: przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji lub weryfikacji, przetwarzanie danych genetycznych, systematyczne przetwarzanie danych z monitoringu, przetwarzanie danych lokalizacyjnych, profilowanie z wykorzystaniem danych z zewnętrznych źródeł.

Kiedy DPIA NIE jest wymagana?

DPIA nie jest wymagana, gdy przetwarzanie nie powoduje wysokiego ryzyka dla praw osób. Art. 35 ust. 5 RODO przewiduje również, że organ nadzorczy może opublikować wykaz przetwarzań, które nie wymagają DPIA.

W praktyce DPIA nie jest konieczna przy standardowym przetwarzaniu danych kadrowo-płacowych w małej firmie (o ile nie obejmuje profilowania ani danych szczególnych na dużą skalę), prowadzeniu podstawowej listy klientów z danymi kontaktowymi czy wysyłce newslettera na podstawie zgody (o ile nie ma profilowania).

W razie wątpliwości — bezpieczniej jest przeprowadzić DPIA niż ryzykować zarzut jej braku.

Jak przeprowadzić DPIA — procedura krok po kroku

DPIA nie ma jednego obowiązkowego szablonu — RODO określa minimalną zawartość (art. 35 ust. 7), ale pozostawia administratorowi swobodę co do formy. EDPB, CNIL i inne organy nadzorcze opublikowały jednak wzory i narzędzia, które można wykorzystać.

Krok 1: Opis przetwarzania

Opisz planowane przetwarzanie danych w sposób szczegółowy:

Jakie dane osobowe będą przetwarzane (kategorie danych)? Kogo dotyczą dane (kategorie osób)? W jakim celu dane będą przetwarzane? Na jakiej podstawie prawnej (art. 6 / art. 9 GDPR)? Jak dane będą zbierane, przechowywane, modyfikowane, udostępniane i usuwane? Jakie systemy i technologie będą wykorzystywane? Kto będzie miał dostęp do danych? Czy dane będą przekazywane poza EOG? Jaki jest planowany okres przechowywania danych?

Więcej o podstawach prawnych przeczytasz w przewodniku po RODO.

Krok 2: Ocena konieczności i proporcjonalności

Odpowiedz na pytania:

Czy przetwarzanie jest niezbędne do osiągnięcia zamierzonego celu? Czy cel można osiągnąć w sposób mniej inwazyjny (z mniejszą ilością danych, bez profilowania, bez danych szczególnych)? Czy zakres danych jest proporcjonalny do celu? Czy okres przechowywania jest uzasadniony? Jak realizowane będą prawa osób, których dane dotyczą? Czy obowiązek informacyjny jest prawidłowo spełniony?

Krok 3: Identyfikacja ryzyk

Zidentyfikuj ryzyka dla praw i wolności osób fizycznych. EDPB zaleca analizę ryzyk w trzech wymiarach:

Poufność — ryzyko nieuprawnionego dostępu do danych (np. wyciek danych, atak hakerski, błąd pracownika).

Integralność — ryzyko nieuprawnionej modyfikacji danych (np. błąd w algorytmie zmieniający dane osobowe, atak na bazę danych).

Dostępność — ryzyko utraty dostępu do danych (np. awaria systemu, ransomware, brak kopii zapasowej).

Dla każdego ryzyka oceń: prawdopodobieństwo wystąpienia (niskie, średnie, wysokie) i wagę skutków dla osoby (niskie, średnie, wysokie). Iloczyn tych dwóch czynników daje poziom ryzyka.

Krok 4: Środki zaradcze

Dla każdego zidentyfikowanego ryzyka określ środki, które je zmniejszą. Środki mogą być:

Techniczne — szyfrowanie danych, pseudonimizacja, kontrola dostępu, logowanie zdarzeń, automatyczne usuwanie danych po okresie retencji, kopie zapasowe, firewall, IDS/IPS, testy penetracyjne.

Organizacyjne — polityki i procedury ochrony danych, szkolenia pracowników, umowy powierzenia przetwarzania, audyty, procedura obsługi naruszeń, procedura realizacji praw osób.

Prawne — prawidłowe klauzule informacyjne, mechanizm zbierania i zarządzania zgodami, umowy z podmiotami przetwarzającymi, Transfer Impact Assessment (przy transferze poza EOG).

Po zastosowaniu środków ponownie oceń poziom ryzyka (ryzyko rezydualne). Jeśli ryzyko rezydualne nadal jest wysokie — konieczna jest konsultacja z UODO (art. 36 RODO — uprzednie konsultacje).

Krok 5: Konsultacja z IOD

Art. 35 ust. 2 RODO wymaga, aby administrator konsultował DPIA z Inspektorem Ochrony Danych (IOD), jeśli został wyznaczony. IOD wydaje opinię na temat DPIA — ocenia, czy analiza jest kompletna, czy ryzyka zostały prawidłowo zidentyfikowane i czy zaproponowane środki są wystarczające.

Opinia IOD powinna być udokumentowana i dołączona do DPIA. Jeśli administrator nie zgadza się z opinią IOD, powinien udokumentować przyczyny rozbieżności.

Więcej o roli IOD przeczytasz w naszym przewodniku.

Krok 6: Dokumentacja i decyzja

DPIA powinna być udokumentowana w formie pisemnej. Dokument powinien zawierać: opis przetwarzania, ocenę konieczności i proporcjonalności, analizę ryzyk, środki zaradcze, ocenę ryzyka rezydualnego, opinię IOD oraz decyzję administratora (kontynuowanie przetwarzania / modyfikacja / rezygnacja / konsultacja z UODO).

Krok 7: Przegląd i aktualizacja

DPIA nie jest dokumentem jednorazowym. Art. 35 ust. 11 RODO wymaga, aby administrator dokonywał przeglądu DPIA, gdy zmieni się ryzyko związane z przetwarzaniem. W praktyce oznacza to aktualizację DPIA, gdy zmieniają się cele lub zakres przetwarzania, wprowadzane są nowe technologie, zmieniają się przepisy prawa, zidentyfikowano nowe ryzyka lub doszło do naruszenia ochrony danych w analizowanym procesie.

Dobra praktyka to przegląd DPIA co najmniej raz w roku.

DPIA a nowe technologie — AI, biometria, IoT

DPIA nabiera szczególnego znaczenia w kontekście nowych technologii:

Sztuczna inteligencja (AI) — systemy AI przetwarzające dane osobowe (np. chatboty, systemy rekomendacji, automatyczna analiza CV) wymagają DPIA z uwagi na profilowanie, automatyczne podejmowanie decyzji i często nieprzejrzystość algorytmów. AI Act (Rozporządzenie o sztucznej inteligencji) dodatkowo wymaga oceny zgodności dla systemów AI wysokiego ryzyka — DPIA i ocena zgodności AI Act powinny być ze sobą spójne.

Biometria — systemy rozpoznawania twarzy, skanery linii papilarnych, rozpoznawanie głosu — przetwarzają dane biometryczne (szczególna kategoria danych z art. 9 GDPR) i zawsze wymagają DPIA.

Internet rzeczy (IoT) — urządzenia IoT zbierające dane o użytkownikach (smartwatche, inteligentne domy, floty pojazdów z GPS) generują masowe ilości danych, często w sposób ciągły i bez pełnej świadomości użytkownika.

Monitoring wizyjny z analityką — kamery z funkcjami rozpoznawania twarzy, detekcji zachowań, śledzenia osób — wykraczają daleko poza tradycyjny monitoring i zawsze wymagają DPIA.

Uprzednie konsultacje z UODO (art. 36 RODO)

Jeśli po przeprowadzeniu DPIA i zastosowaniu środków zaradczych ryzyko rezydualne nadal pozostaje wysokie, administrator ma obowiązek skonsultować się z UODO przed rozpoczęciem przetwarzania (art. 36 ust. 1 RODO).

Konsultacja polega na przesłaniu do UODO dokumentacji DPIA wraz z opisem środków zaradczych. UODO ma 8 tygodni na wydanie pisemnego zalecenia (termin może być przedłużony o 6 tygodni w sprawach skomplikowanych).

W praktyce uprzednie konsultacje są stosunkowo rzadkie — większość organizacji jest w stanie obniżyć ryzyko rezydualne do akceptowalnego poziomu. Jeśli jednak Twoja DPIA wskazuje na utrzymujące się wysokie ryzyko, konsultacja z UODO jest obowiązkowa, a rozpoczęcie przetwarzania bez niej stanowi naruszenie RODO.

Najczęstsze błędy w DPIA

Na podstawie praktyki audytowej i decyzji organów nadzorczych, najczęstsze błędy to:

Brak DPIA mimo obowiązku — organizacja wdrożyła nowy system (monitoring, profilowanie, AI) bez przeprowadzenia DPIA. UODO i europejskie organy nadzorcze nakładają kary za sam brak DPIA, niezależnie od tego, czy doszło do naruszenia danych.

DPIA po fakcie — DPIA przeprowadzona po wdrożeniu systemu, zamiast przed jego uruchomieniem. Art. 35 ust. 1 RODO wyraźnie wymaga, aby DPIA była przeprowadzona przed przetwarzaniem.

Powierzchowna analiza ryzyk — ogólnikowe stwierdzenia typu „ryzyko jest niskie” bez konkretnej analizy scenariuszy, prawdopodobieństwa i skutków.

Brak środków zaradczych — DPIA identyfikuje ryzyka, ale nie proponuje konkretnych środków ich minimalizacji lub proponuje środki nieadekwatne do poziomu ryzyka.

Brak konsultacji z IOD — administrator przeprowadził DPIA bez zasięgnięcia opinii IOD, mimo że IOD był wyznaczony.

Brak aktualizacji — DPIA przeprowadzona w 2018 r. i od tamtej pory niezmieniana, mimo zmian w procesie przetwarzania, technologii lub przepisach.

Traktowanie DPIA jako formalności — wypełnienie szablonu „na odczepne”, bez realnej analizy ryzyk i środków zaradczych.

Narzędzia do przeprowadzenia DPIA

Kilka przydatnych narzędzi i szablonów:

PIA Tool (CNIL) — darmowe narzędzie francuskiego organu nadzorczego do przeprowadzania DPIA. Dostępne w kilku językach, prowadzi użytkownika krok po kroku przez cały proces.

Szablon DPIA ICO — brytyjski organ nadzorczy (Information Commissioner’s Office) udostępnia szablon DPIA z przykładami i wskazówkami.

Wytyczne EDPB WP 248 (rev.01) — oficjalne wytyczne dotyczące DPIA, zawierające kryteria oceny, przykłady i wyjaśnienia.

Lista UODO — wykaz rodzajów operacji przetwarzania wymagających DPIA w Polsce.

Checklist — DPIA krok po kroku

  1. Oceń, czy przetwarzanie wymaga DPIA (kryteria EDPB + lista UODO).
  2. Opisz szczegółowo planowane przetwarzanie.
  3. Oceń konieczność i proporcjonalność przetwarzania.
  4. Zidentyfikuj ryzyka dla poufności, integralności i dostępności danych.
  5. Oceń prawdopodobieństwo i wagę każdego ryzyka.
  6. Określ środki techniczne, organizacyjne i prawne minimalizujące ryzyka.
  7. Oceń ryzyko rezydualne po zastosowaniu środków.
  8. Skonsultuj DPIA z IOD i udokumentuj jego opinię.
  9. Podejmij decyzję: kontynuować / modyfikować / skonsultować z UODO.
  10. Udokumentuj DPIA i zaplanuj regularne przeglądy.

Potrzebujesz pomocy z DPIA?

Przeprowadzenie rzetelnej DPIA wymaga wiedzy prawnej, zrozumienia procesów IT i doświadczenia w zarządzaniu ryzykiem. W Kancelarii Radcowskiej dr Joanny Maniszewskiej-Ejsmont przeprowadzamy DPIA dla organizacji wdrażających nowe systemy, technologie i procesy — od monitoringu i systemów HR, przez platformy e-commerce, po rozwiązania oparte na sztucznej inteligencji.

 

Notariusz-Joanna-Maniszewska-Ejsmont

Skontaktuj się z nami — ocenimy, czy Twoje przetwarzanie wymaga DPIA i przeprowadzimy ją zgodnie z wytycznymi EDPB.

  +48 692 004 515

  kancelaria@maniszewska.pl