logo-LexDigital
logo-LexDigital
Compliance RODO

DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych

Natalia Dzieciuchowicz
Natalia Dzieciuchowicz
20.06.2022
DPIA (Data Protection Impact Assessment) – ocena skutków dla ochrony danych

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?rnJaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?rnWytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA?rnW jaki sposób należy przeprowadzić DPIA?

Z tego artykułu dowiesz się:

  • Co to jest DPIA?
  • Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?
  • Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?
  • Wytyczne Urzędu Ochrony Danych Osobowych w zakresie rodzajów operacji przetwarzania danych wymagających DPIA?
  • W jaki sposób należy przeprowadzić DPIA?

Co to jest DPIA?

Ocena skutków dla ochrony danych (dalej: DPIA lub ocena) to proces mający na celu scharakteryzowanie przetwarzania danych, dokonanie oceny jego niezbędności i proporcjonalności oraz wsparcie administratora w zarządzaniu ryzykiem naruszenia praw lub wolności osób fizycznych wynikającym z tego przetwarzania. Ma ona służyć dogłębnej ocenie ryzyka na jakie narażone jest przetwarzanie danych osobowych i wprowadzeniu adekwatnych środków zaradczych ograniczających to ryzyko do poziomu akceptowalnego. Czynności, dla których przeprowadzenie oceny jest obowiązkowe znajdują umocowanie prawne w art. 35 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r. w sprawie ochrony osób fizycznych w związku z przetwarzaniem danych osobowych i w sprawie swobodnego przepływu takich danych oraz uchylenia dyrektywy 95/46/WE (ogólne rozporządzenie o ochronie danych) (dalej: RODO) oraz obwieszczeniach Urzędu Ochrony Danych Osobowych. Zgodnie z art. 35 ust. 4 Rozporządzenia Parlamentu Europejskiego i Rady (UE) 2016/679 z dnia 27 kwietnia 2016 r.  Organ nadzorczy ustanawia i podaje do publicznej wiadomości wykaz rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych. Podstawą ogłoszenia Komunikatu Prezesa Urzędu Ochrony Danych Osobowych jest art. 54 ust. 1 pkt 1 w związku z art. 172 ustawy z dnia 10 maja 2018 r. o ochronie danych osobowych. Wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych.

Jako podstawę do wykonania oceny skutków dla ochrony danych należy przyjąć m. in.:

punkt 3 wykazu do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych, w którym jako przykład operacji/zakresu danych/okoliczności, w której może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania wskazano systemy monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, internetu). Ponadto źródłem informacji o zagrożeniach i podatnościach powinna być analiza zdarzeń, które już dotychczas wystąpiły u administratora.

Kiedy administrator danych ma obowiązek przeprowadzenia oceny skutków dla ochrony danych?

Ocena skutków jest mechanizmem, który ma na celu szacowanie prawdopodobieństwa naruszenia praw i wolności osób w związku z przetwarzaniem ich danych osobowych. Ocena skutków dla ochrony Danych, na podstawie art. 35 ust. 1 RODO, powinna być przeprowadzona, jeżeli dany rodzaj przetwarzania może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (w szczególności z wykorzystaniem nowych technologii).

Czy numer telefonu to dane osobowe? Ważne stanowiska UODO i sądu

Przykładowe czynności wykazane przez Prezesa Urzędu Ochrony Danych Osobowych, które wymagają przeprowadzenia oceny skutków dla ochrony danych:

  • ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (np. ocena zdolności kredytowej),
  • zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki, systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni,
  • przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych wg opinii WP 29),
  • przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu,
  • przetwarzanie danych genetycznych,
  • dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy: • liczby osób, których dane są przetwarzane, • zakresu przetwarzania, • okresu przechowywania danych oraz • geograficznego zakresu przetwarzania,
  • przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł,
  • przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi i/lub ocennymi,
  • innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych,
  • gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy,
  • przetwarzanie danych lokalizacyjnych.
    administrator danych osobowych, dane osobowe, personal data

Rejestr czynności przetwarzania – przykład

Co oznacza wysokie ryzyko naruszenia praw i wolności osób fizycznych?

Wysokie ryzyko naruszenia praw występuje w szczególności:

  • systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną (np. zautomatyzowany scoring kredytowy; lub
  • przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10;lub
  • systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Urząd Ochrony Danych Osobowych podkreśla, że każdy z przykładów obszarów zastosowania ma charakter wyłącznie ilustracyjny, a w konsekwencji „Przykłady operacji/ zakresu danych/ okoliczności, w których może wystąpić wysokie ryzyko naruszenia dla danego rodzaju operacji przetwarzania” nie mają charakteru wyczerpującego.

Jaka jest rola Inspektora ochrony danych w procesie wykonywania oceny skutków dla ochrony danych?

Zgodnie z wytycznymi GRUPY ROBOCZEJ ART. 29 DS. OCHRONY DANYCH dotyczącymi Inspektorów ochrony danych, jeśli chodzi o ocenę skutków dla ochrony danych, administrator lub podmiot przetwarzający powinni zasięgnąć porady Inspektora, między innymi w następujących kwestiach:

  • czy należy przeprowadzić ocenę skutków dla ochrony danych; 
  • jaką metodologię należy przyjąć przy przeprowadzeniu oceny skutków dla ochrony danych; 
  • czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych czy też zlecić ją podmiotowi zewnętrznemu; 
  • jakie zabezpieczenia (w tym środki techniczne i organizacyjne) mają zastosowanie w celu złagodzenia wszelkich zagrożeń dla praw i interesów osób, których dane dotyczą; 
  • czy ocena skutków została prawidłowo przeprowadzona oraz czy jej wyniki są zgodne z wymogami ochrony danych (czy należy kontynuować przetwarzanie czy też nie oraz jakie zabezpieczenia należy zastosować).
    ocena ryzyka, DPIA, dane osobowe

W jaki sposób należy przeprowadzić DPIA?

Ocenę skutków dla ochrony danych należy przeprowadzić „przed rozpoczęciem przetwarzania” (art. 35 ust. 1 i 10, motywy 90 i 93)23. Jest to zgodne z zasadami dotyczącymi uwzględniania ochrony danych w fazie projektowania oraz domyślnej ochrony danych (art. 25 i motyw 78). Ocenę skutków dla ochrony danych należy postrzegać jako narzędzie wspomagające proces podejmowania decyzji w sprawie przetwarzania danych.

Ustawodawca nie narzuca metodyki przeprowadzania DPIA zapewniając administratorowi elastyczność i możliwość dostosowania struktury i formy oceny do własnych praktyk. Minimalny zakres jaki powinien zostać uwzględniony wskazano w art. 35 ust. 7 RODO oraz w preambule w motywie 84 i 90. W ramach oceny należy zawrzeć:

  • opis planowanych operacji przetwarzania i celów przetwarzania,
  • ocenę czy operacje przetwarzania są niezbędne i proporcjonalne w stosunku do celów przetwarzania,
  • ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą,
  • wskazanie środków służących zaradzeniu ryzyku oraz przestrzegania rozporządzenia.

Etapy dokonywania DPIA opisano również w Wytycznych Grupy Roboczej Art. 29. dotyczących oceny skutków dla ochrony danych (WP 248) i składa sie na nie 7 elementów:

  1. Opis planowanych operacji przetwarzania
  2. Ocena konieczności i proporcjonalności
  3. Środki planowane w celu wykazania zgodności
  4. Ocena ryzyka naruszenia praw i wolności
  5. Środki planowane w celu wyeliminowania ryzyka
  6. Dokumentacja
  7. Monitorowanie i przegląd

Wnioski

Ocena skutków dla ochrony danych stanowi przydatne narzędzie wykorzystywane przez administratorów danych do wdrażania systemów przetwarzania danych, które są zgodne z RODO, a przeprowadzenie tych ocen może okazać się obowiązkowe w przypadku niektórych rodzajów operacji przetwarzania.

W art. 24 ust. 1 określono podstawowy obowiązek administratora w zakresie zachowania zgodności z RODO: „uwzględniając charakter, zakres, kontekst i cele przetwarzania oraz ryzyko naruszenia praw lub wolności osób fizycznych o różnym prawdopodobieństwie i wadze zagrożenia, administrator wdraża odpowiednie środki techniczne i organizacyjne, aby przetwarzanie odbywało się zgodnie z niniejszym rozporządzeniem i aby móc to wykazać. Środki te są w razie potrzeby poddawane przeglądom i uaktualniane”. Dokonywanie oceny skutków dla ochrony danych ma zasadnicze znaczenie dla zachowania zgodności z rozporządzeniem, jeżeli planuje się lub odbywa się przetwarzanie danych, z którym wiąże się wysokie ryzyko.

Potrzebujesz wsparcia w przeprowadzeniu DPIA? 

Skontaktuj się z nami.

Polecamy nasze inne artykuły:

NIS2 – sprawdź nowe wymagania dla firm

Incydenty i naruszenia ochrony danych osobowych w dni wolne od pracy i święta

Dane osobowe: Kompletny przewodnik po RODO na 2025 rok

RODO
Nagrywanie pracowników. Czy monitoring z dźwiękiem jest legalny?

Nagrywanie pracowników. Czy monitoring z dźwiękiem jest legalny?

Aleksander Markiewicz 23.11.2024
RODO
Jak długo przechowywany jest zapis z kamer sklepowych, czyli retencja danych w procesie monitoringu wizyjnego

Jak długo przechowywany jest zapis z kamer sklepowych, czyli retencja danych w procesie monitoringu wizyjnego

Zespół LexDigital 27.02.2024

Umów bezpłatną konsultację

Napisz, w czym możemy ci pomóc, a my skontaktujemy się z Tobą w ciągu 24 godzin.
Kontakt
Pierwszy taki newsletter o ochronie danych i cyberbezpieczeństwie.
Co miesiąc dawka wiedzy od naszych ekspertów.

Administratorem Twoich danych osobowych jest LexDigital spółka z ograniczoną odpowiedzialnością z siedzibą w Poznaniu, ul Grodziska 8, 60-363 Poznań. Dane osobowe przetwarzane będą w celu wysyłania informacji handlowych, w szczególności newslettera. Pełną informację o przetwarzaniu danych osobowych znajdziesz w naszej Polityce prywatności.