Ocena skutków dla ochrony danych (DPIA) – praktyczny przewodnik + wzór formularza

Tekst został opracowany na podstawie wytycznych EROD (WP 248) „Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie może powodować wysokie ryzyko do celów rozporządzenia 2016/679”, a także wskazówek, których udzieliły w swoich poradnikach organy nadzorcze Irlandii, Holandii oraz Francji.

Jak DPIA wpisuje się w proces zarządzania ryzykiem

Analiza ryzyka jest jednym z kluczowych elementów RODO. Ryzyko to konkretny scenariusz: zdarzenie, które może wystąpić, oraz jego konsekwencje dla osoby, której dane dotyczą. RODO nakłada na administratora danych obowiązek zarządzania ryzykiem. Nie wystarczy raz coś przeanalizować i odłożyć dokument na półkę. Zarządzanie ryzykiem to proces ciągły, który obejmuje identyfikację zagrożeń, ocenę ich wpływu, a następnie wdrożenie środków zaradczych i regularne przeglądy przeprowadzonej analizy.

DPIA jest wymagana wtedy, gdy przetwarzanie danych może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Powinna stanowić udokumentowany proces, który jest częścią zarządzania ryzykiem w organizacji. DPIA pomaga administratorowi podejmować świadome decyzje i wykazywać zgodność z RODO w myśl zasady rozliczalności (więcej o tej zasadzie przeczytasz w osobnym artykule).

W ramach DPIA administrator ustala zakres przetwarzania, identyfikuje potencjalne zagrożenia i dobiera odpowiednie środki zaradcze (motyw 90 RODO). Takie działania pokrywają się z elementami zarządzania ryzykiem na gruncie ISO 31000. Należy jednak wskazać, że DPIA koncentruje się na perspektywie osób, których dane są przetwarzane, a nie na perspektywie organizacji. To odróżnia DPIA od innych obszarów analizy ryzyka, np. w zakresie bezpieczeństwa informacji.

Kto odpowiada za DPIA, kto ją opiniuje, a kto wspiera ten proces

Za przeprowadzenie DPIA odpowiada administrator danych. To on decyduje, czy ocena jest potrzebna i w jaki sposób ją wykonać. Administrator może zlecić wykonanie DPIA firmie zewnętrznej, jednak nadal odpowiada on za prawidłowość całego procesu.

Jeśli w organizacji działa inspektor ochrony danych (IOD), administrator powinien skonsultować z nim DPIA (art. 35 ust. 2 RODO). Powinien także udokumentować wyniki tych konsultacji, w tym decyzje, jakie podjął.

Do obowiązków IOD należy monitorowanie poprawności wykonania DPIA oraz udzielanie zaleceń co do tego procesu na żądanie administratora (art. 39 ust. 1 lit. c RODO). Zgodnie z wytycznymi EROD do zadań IOD może należeć:

• wskazywanie konkretnych procesów wymagających przeprowadzenia DPIA,
• pomoc w opracowaniu metodyki DPIA,
• wsparcie administratora w poszerzaniu wiedzy,
• pomoc w ocenie, jaki poziom ryzyka można zaakceptować.

W procesie DPIA ważną rolę ogrywają interesariusze wewnętrzni – właściciele procesów biznesowych, którzy najlepiej znają operacje przetwarzania. Należy z nimi skonsultować aspekty techniczne, takie jak sposób gromadzenia, przechowywania i przetwarzania danych, a także to, jak współgrają ze sobą poszczególne elementy procesu biznesowego.

Równie cennych informacji mogą dostarczyć podmioty przetwarzające. Administrator powinien wcześniej zadbać o to, by umowa powierzenia zobowiązywała podmiot przetwarzający do udzielenia mu pomocy przy przeprowadzaniu DPIA (art. 28 ust. 3 lit. f RODO).

W stosownych przypadkach administrator powinien skonsultować się z osobami, których dane dotyczą, lub z ich przedstawicielami (art. 35 ust. 9 RODO). Przykładowo, jeśli badany proces dotyczy pracowników, opinię może przedstawić organizacja związkowa. Jeśli proces dotyczy kontrahentów, ich stanowisko można poznać za pomocą odpowiednio przygotowanych ankiet.

Administrator nie musi zgadzać się z opinią osób, których dane dotyczą. Jeśli jednak podejmie decyzję z nią sprzeczną albo w ogóle nie zasięgnie opinii tych osób, powinien to uzasadnić w ramach procesu DPIA. Warto przy tym zwrócić uwagę, że sama zgoda na przetwarzanie danych nie stanowi opinii w rozumieniu art. 35 ust. 9 RODO. Opinię osób, których dane dotyczą, należy uzyskać niezależnie od udzielonej zgody.

Kiedy DPIA jest obowiązkowa i co oznacza „wysokie ryzyko”

Nie każda operacja przetwarzania danych osobowych wymaga DPIA. Jej przeprowadzenie jest obowiązkowe, gdy istnieje prawdopodobieństwo, że przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. W praktyce oznacza to, że każdy proces przetwarzania należy ocenić co najmniej pod kątem tego, czy takie wysokie ryzyko może wystąpić.

W art. 35 ust. 3 RODO wskazano trzy przykładowe sytuacje, w których DPIA jest wymagana. Są to:

• prowadzenie systematycznej, kompleksowej oceny czynników osobowych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby lub w podobny sposób znacząco wpływających na osobę,
• przetwarzanie na dużą skalę szczególnych kategorii danych (art. 9 RODO) lub danych dotyczących wyroków (art. 10 RODO),
• systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie.

Jak ocenić wysokie ryzyko według EROD

W wytycznych EROD wskazano dziewięć kryteriów, które przemawiają za zasadnością wykonania DPIA. Zgodnie z tymi zaleceniami DPIA jest:

• co do zasady opcjonalna – jeśli spełnione jest tylko jedno kryterium,
• obowiązkowa – jeśli spełnione są co najmniej dwa kryteria, ponieważ wskazuje to na duże prawdopodobieństwo wystąpienia wysokiego ryzyka.

Należy pamiętać, że opisany w wytycznych EROD katalog rodzajów operacji przetwarzania nie ma charakteru wyczerpującego. Oznacza to, że administrator nie jest zwolniony z obowiązku każdorazowego sprawdzenia, czy w konkretnych okolicznościach może wystąpić wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Kryteria wskazujące na wysokie ryzyko według wytycznych EROD:

1. Profilowanie, ocena i punktacja

Kryterium obejmuje ocenę lub punktację osób, w tym profilowanie i prognozowanie, na podstawie informacji o nich, np. o ich zdrowiu, wynikach pracy, sytuacji ekonomicznej, lokalizacji i przemieszczaniu, osobistych preferencjach, zachowaniach i zainteresowaniach.

Przykłady:

• bank weryfikujący klientów w bazie danych,
• firma biotechnologiczna oferująca testy genetyczne w celu oceny ryzyka zachorowania,
• firma budująca profile behawioralne i marketingowe na podstawie zachowania osoby na stronie internetowej.

2. Zautomatyzowane podejmowanie decyzji

Kryterium dotyczy sytuacji, gdy podejmowane są zautomatyzowane decyzje – bez udziału, zatwierdzenia lub istotnej interwencji człowieka. Aby kryterium było spełnione, decyzje te muszą wywoływać wobec osób skutki prawne lub w inny podobny sposób na nie wpływać. Jeśli skutek jest niewielki lub żaden, kryterium nie będzie spełnione.

Przykład: systemy analizujące dane klientów w celu ustalenia ich preferencji zakupowych lub automatycznego dopasowania indywidualnych cen i promocji.

3. Systematyczne monitorowanie

Kryterium występuje, gdy organizacja systematycznie obserwuje, monitoruje lub kontroluje osoby, np. za pomocą kamer CCTV lub przez śledzenie lokalizacji z wykorzystaniem urządzeń GPS. Wysokie ryzyko może wynikać z braku informacji o tym, że osoby są obserwowane, a w związku z tym – z braku możliwości uniknięcia przez nie monitoringu. 

4. Dane wrażliwe

Kryterium jest spełnione, gdy przetwarzanie obejmuje dane wrażliwe. W szerokim ujęciu do „danych wrażliwych” zalicza się:

• dane szczególnych kategorii w rozumieniu art. 9 RODO,
• dane dotyczące wyroków w rozumieniu art. 10 RODO,
• inne dane, które mogą być uznane za wrażliwe w szerszym znaczeniu, ponieważ dotyczą na przykład lokalizacji, finansów lub komunikacji osób – ze względu na to, że takie dane mają osobisty lub domowy charakter, ich przetwarzanie może być uznane za inwazyjne i ryzykowne, zwłaszcza na dużą skalę.

5. Duża skala

To kryterium należy oceniać przez pryzmat zarówno konkretnej liczby osób lub odsetka populacji, jak i objętości przetwarzanych danych, czasu trwania przetwarzania oraz zakresu geograficznego przetwarzania. Dla przykładu, czeski organ nadzorczy stwierdził, że z dużą skalą mamy do czynienia, gdy przetwarzanie dotyczy:

• 10 001 podmiotów danych lub więcej niż 0,01 % populacji Czech lub innych państw lub
• więcej niż 20 osób z dostępem do danych, lub
• więcej niż 20 lokalizacji/oddziałów, gdzie dochodzi do przetwarzania danych

– a jednocześnie osoby, których dane dotyczą, pochodzą z regionu lub mieszkają w regionie na poziome NUTS 1 (w Polsce jest to siedem makroregionów, np. makroregion: województwo mazowieckie).

Więcej o pojęciu dużej skali można znaleźć w tym artykule.

6. Dopasowywanie lub łączenie zbiorów danych

Kryterium dotyczy łączenia lub dopasowywania danych pochodzących z różnych operacji przetwarzania. Takie zestawienie danych może prowadzić do uzyskiwania nowych informacji poprzez wyciąganie wniosków, które mogą wykraczać poza uzasadnione oczekiwania osób, których dane dotyczą.

7. Przetwarzanie danych dotyczących osób wymagających szczególnej ochrony

Kryterium odnosi się do osób, które z uwagi na swoje cechy osobiste lub brak równowagi sił w relacji z administratorem mogą mieć większe trudności ze świadomym i swobodnym wyrażeniem zgody na przetwarzanie ich danych, ze zgłoszeniem sprzeciwu wobec przetwarzania lub z korzystaniem z przysługujących im praw. Chodzi w szczególności o:

• dzieci,
• pracowników w relacji z pracodawcą,
• wrażliwe grupy społeczne: osoby chore psychicznie, osoby ubiegające się o azyl, osoby starsze, pacjentów.

8. Zastosowanie innowacyjnych technologii

Kryterium ma zastosowanie, gdy w procesie przetwarzania wykorzystuje się nowe technologie, w szczególności działające w połączeniu, np. systemy sztucznej inteligencji, urządzenia zbierające różne dane biometryczne lub niektóre systemy Internetu rzeczy. Takie rozwiązania mogą mieć znaczny wpływ na prywatność osób, których dane dotyczą.

Jeśli chcesz dowiedzieć się więcej o „Internecie rzeczy”, przeczytaj ten artykuł.

9. Uniemożliwienie skorzystania z usługi lub wykonania prawa

W tym kryterium chodzi o operacje przetwarzania, od których zależy możliwość korzystania z usługi, zawarcia umowy lub realizacji praw przysługujących osobie.

Przykład: weryfikacja klientów przez bank w bazie referencyjnej w celu podjęcia decyzji o udzieleniu kredytu.

Wytyczne EROD zawierają przykłady, które obrazują prawidłowy sposób analizy opisanych kryteriów. Oto niektóre z nich:

• Szpital przetwarzający dane dotyczące zdrowia pacjenta:
  • dane wrażliwe: TAK,
  • osoby wymagające szczególnej ochrony (pacjenci): TAK,
  • duża skala: TAK.

Podsumowanie: spełnione trzy kryteria – DPIA należy wykonać.

• Pracodawca systematycznie monitorujący pracowników, w tym ich miejsca pracy i aktywność w Internecie:
  • systematyczne monitorowanie: TAK,
  • osoby wymagające szczególnej ochrony (pracownicy): TAK.

Podsumowanie: spełnione dwa kryteria – DPIA należy wykonać.

• Administrator strony wysyłający newsletter do dużej listy subskrybentów:
  • duża skala: TAK.

Podsumowanie: spełnione jedno kryterium – DPIA jest co do zasady opcjonalna.

Aby ułatwić sprawdzenie, czy dana operacja przetwarzania wymaga przeprowadzenia DPIA, przygotowaliśmy prosty kalkulator, który zawiera szczegółowe wyjaśnienia każdego z powyższych kryteriów.

Kiedy DPIA jest wymagana – wykaz Prezesa UODO

Prezes Urzędu Ochrony Danych ustanowił wykaz przypadków podlegających wymogowi DPIA. Co do zasady obowiązek jej przeprowadzenia powstaje, gdy spełnione są co najmniej dwa kryteria zawarte w tym wykazie.

Wykaz Prezesa UODO uzupełnia i konkretyzuje dziewięć kryteriów wskazanych w wytycznych EROD. Podobnie jak wytyczne – nie zwalnia on administratora z obowiązku badania każdego przypadku pod kątem wystąpienia wysokiego ryzyka naruszenia praw lub wolności osób fizycznych.

Publikując wykaz, Prezes UODO zrealizował obowiązek organu nadzorczego przewidziany w art. 35 ust. 4 RODO. Jeśli chcesz się dowiedzieć, jakie przypadki obejmują wykazy organów nadzorczych w innych państwach członkowskich UE, zapoznaj się z tym artykułem.

W jakich przypadkach można pominąć DPIA

DPIA nie jest zawsze obowiązkowa. Zgodnie z art. 35 RODO oraz wytycznymi EROD można ją pominąć w kilku określonych sytuacjach. Przede wszystkim DPIA nie trzeba wykonywać, jeśli z analizy konkretnego przypadku wynika, że dana operacja przetwarzania prawdopodobnie nie będzie powodować wysokiego ryzyka naruszenia praw i wolności osób fizycznych. DPIA nie jest również wymagana, jeśli wcześniej przeprowadzono ocenę dla bardzo podobnej operacji przetwarzania. Wówczas można wykorzystać istniejące wyniki.

Kolejnym wyjątkiem jest sytuacja, gdy przetwarzanie odbywa się na podstawie prawa UE lub prawa krajowego (np. na podstawie art. 6 ust. 1 lit. c lub lit. e RODO), a DPIA została już wykonana na etapie przyjmowania tej podstawy prawnej.

Ponadto na podstawie art. 35 ust. 5 RODO krajowy organ nadzorczy może ustanowić i podać do wiadomości wykaz rodzajów operacji przetwarzania, które nie podlegają wymogowi wykonania DPIA. W Polsce Prezes UODO dotychczas nie przygotował takiego wykazu. Natomiast we Francji został on już opublikowany przez CNIL (francuski organ nadzorczy) – więcej na ten temat znajdziesz w tym artykule.

Kiedy rozpocząć proces DPIA

Z perspektywy prawnej moment wykonania DPIA, jest określony jednoznacznie. Zgodnie z art. 35 ust. 1 RODO należy ją przeprowadzić przed rozpoczęciem przetwarzania danych osobowych. Wynika to z zasady privacy by design (art. 25 RODO), która nakazuje uwzględniać ochronę danych już na etapie projektowania procesów. Motywy 90 i 93 RODO podkreślają, że DPIA ma wspierać podejmowanie decyzji i zapobiegać ryzyku, zanim to ryzyko się zmaterializuje. Nie jest więc uzasadnione odkładanie DPIA z powodu braku pełnego ukształtowania procesu biznesowego, w którym przetwarzane są dane osobowe. Prawo wymaga, by rozpocząć DPIA możliwie wcześnie.

Ważny jest też aspekt ekonomiczny. Wczesne przeprowadzenie DPIA może przynieść korzyści biznesowe. Im wcześniej zostaną zidentyfikowane ryzyka, tym łatwiej i taniej będzie można je ograniczyć. Zmiany w już funkcjonującym procesie biznesowym, uruchomionym bez wcześniejszych analiz, mogą generować wysokie i zbędne koszty – zarówno finansowe, jak i organizacyjne. DPIA stanowi więc narzędzie planowania, które pozwala uniknąć kosztownych korekt na późniejszych etapach.

W praktyce DPIA należy traktować jako proces, a nie jednorazowe działanie. Doświadczony menadżer wie, że na wczesnym etapie planowania i rozwoju projektu wszystkie szczegóły nie są jeszcze znane. Trudno wtedy jednoznacznie określić, jaki zakres przetwarzania danych będzie niezbędny do osiągnięcia zamierzonego celu. Niemniej analizę warto rozpocząć jak najwcześniej i aktualizować ją wraz z rozwojem projektu.

Zmiany w stosowanej technologii oraz doprecyzowanie celu przetwarzania czy kontekstu organizacyjnego mogą wpływać na poziom ryzyka. Dlatego regularny przegląd DPIA jest dobrą praktyką i pomaga administratorowi zapewnić zgodność z prawem i zasadą rozliczalności.

Jak wykonać DPIA

Proces powinien rozpocząć się od sprawdzenia, czy DPIA jest w ogóle wymagana. Oznacza to konieczność sprawdzenia, czy planowane operacje przetwarzania mogą powodować wysokie ryzyko dla osób, których dane dotyczą. Irlandzki organ nadzorczy zaleca, by już na wstępie ustalić, jakie zasoby i osoby będą zaangażowane w proces oceny. Dobrą praktyką jest ustalenie harmonogramu prac.

Kolejny krok to określenie zakresu projektu. Należy możliwie szczegółowo ustalić, jakie dane będą przetwarzane, w jakim celu i jakie operacje przetwarzania są planowane, np. gromadzenie, przechowywanie, wykorzystywanie, usuwanie. Warto się zastanowić, czy proces przetwarzania zgromadzonych danych doprowadzi do powstania nowych danych. Dla przykładu, zgromadzone dane dotyczące konkretnej osoby mogą pozwolić na utworzenie jej profilu psychologicznego. Ustalenia z tego etapu pozwolą lepiej zrozumieć sposób i cel wykorzystania danych w badanym procesie.

Następny etap to identyfikacja zagrożeń. Na tym etapie ustalamy, jakie ryzyka mogą wystąpić dla osób, których dane dotyczą. Warto przeanalizować m.in. możliwość wywołania stresu, niedogodności, ryzyka strat finansowych i szkód fizycznych. Irlandzki organ nadzorczy wskazał następujące przykłady zagrożeń dla osób:

• przypadkowa utrata sprzętu elektronicznego, skutkująca ryzykiem ujawnienia danych osobowych,
• atak hakerski powodujący wyciek danych,
• ujawnienie danych osobowych na skutek nieskutecznych technik anonimizacji,
• wykorzystanie danych osobowych w sposób nieprzewidziany dla osoby, której dane dotyczą (z powodu niepoinformowania osoby lub zmiany charakteru projektu),
• połączenie zestawów danych, które prowadzi do wygenerowania nowych danych, jeśli osoba nie spodziewała się takiego skutku, albo do identyfikacji osoby mimo wcześniejszego zanonimizowania danych.

Po zidentyfikowaniu zagrożeń należy określić środki zaradcze. Mogą to być zarówno środki techniczne (np. szyfrowanie, pseudonimizacja, kontrola dostępu), jak i środki organizacyjne (np. szkolenia, polityki i procedury, ograniczenie zakresu przetwarzania). Ważne jest, aby wybrane środki były adekwatne do poziomu ryzyka i aby umożliwiały wykazanie zgodności z RODO.

Cały proces powinien być odpowiednio udokumentowany. RODO nie nakłada obowiązku sporządzania formalnego raportu DPIA, ale jego przygotowanie i formalne przyjęcie przez kierownictwo jest dobrą praktyką i może stanowić dowód rozliczalności.

Aby ułatwić udokumentowanie procesu DPIA, przygotowaliśmy formularz, który wygeneruje PDF z przeprowadzonego procesu, a także wersję edytowalną: wzór dokumentu DPIA wraz z przykładowo wykonaną DPIA .

Publikacja wyników DPIA nie jest obowiązkowa, ale może przyczynić się do zwiększenia zaufania do administratora, który działa w sposób przejrzysty i odpowiedzialny. W praktyce nie publikuje się pełnych raportów z przeprowadzonej DPIA. Zamiast tego udostępnia się ich skrócone wersje lub podsumowania, w szczególności gdy pełen raport zawiera informacje poufne, takie jak szczegóły dotyczące zastosowanych zabezpieczeń czy tajemnice handlowe.

Co zrobić, gdy ryzyko szczątkowe jest wysokie mimo środków zaradczych

W praktyce, mimo zastosowania różnych zabezpieczeń, nadal może istnieć ryzyko wystąpienia negatywnych skutków dla osób. Jest to ryzyko szczątkowe, nazywane również rezydualnym. Ryzyko to pozostaje nawet po wdrożeniu wszystkich zaplanowanych środków technicznych i organizacyjnych, które miały je ograniczyć. RODO dopuszcza takie ryzyko, o ile zostało odpowiednio zmniejszone. Motyw 84 RODO wyjaśnia, że celem DPIA jest identyfikacja ryzyka i jego minimalizacja do poziomu akceptowalnego.

Zdarzają się sytuacje, gdy ryzyko szczątkowe pozostaje wysokie. Chodzi tu o przypadki, w których zaplanowane zabezpieczenia nie zmniejszyły wysokiego poziomu ryzyka. Dla przykładu, osoby nadal mogą ponieść znaczne lub nieodwracalne konsekwencje, takie jak zwolnienie z pracy lub poważne szkody finansowe. Do takiej sytuacji może dojść również wtedy, gdy nie udało się ograniczyć liczby osób mających dostęp do danych albo załatać luki w zabezpieczeniach.

Jeśli ryzyko szczątkowe jest wysokie, administrator nie może samodzielnie podjąć decyzji o rozpoczęciu przetwarzania – ma obowiązek przeprowadzenia konsultacji z organem nadzorczym (art. 36 RODO). Taka konsultacja ma na celu uzyskanie opinii, czy planowane środki są wystarczające, czy też należy zastosować dodatkowe zabezpieczenia. W niektórych przypadkach organ może nawet zakazać przetwarzania. Zaniechanie konsultacji mimo wysokiego ryzyka szczątkowego może skutkować nałożeniem administracyjnej kary pieniężnej przewidzianej za naruszenie RODO.

Czy proces DPIA trzeba powtarzać

W pierwotnej wersji wytycznych EROD sugerowano, że DPIA powinna być powtarzana co trzy lata. Po rewizji dokumentu ta rekomendacja została usunięta. Obecnie wytyczne EROD nie wskazują sztywnego terminu, w którym należy ponownie przeprowadzić DPIA. Decyzja o przeglądzie i aktualizacji powinna wynikać z indywidualnej oceny administratora danych.

Jak ocenić, czy zachodzi potrzeba ponownego przeprowadzenia DPIA? Kluczowe jest ustalenie, czy zaszły zmiany w procesach przetwarzania, które mogą wpływać na poziom ryzyka. Wdrożenie nowych technologii, pojawienie się nowych zagrożeń, rozszerzenie zakresu przetwarzanych danych lub zmiana celu przetwarzania – to przykłady sytuacji, w których ponowne przeprowadzenie DPIA będzie konieczne.

Regularny przegląd DPIA jest dobrą praktyką, ponieważ pozwala utrzymać odpowiedni poziom ochrony danych w zmieniającym się środowisku i prawidłowo realizować zasadę rozliczalności wynikającą z RODO. Szczególną uwagę należy zwrócić na procesy przetwarzania, które istniały już przed rozpoczęciem stosowania RODO, czyli przed majem 2018 r. Początkowo takie procesy były zwolnione z obowiązku przeprowadzenia DPIA. Administrator powinien sprawdzić, czy warunki przetwarzania nie uległy zmianie oraz czy nie występuje teraz wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Jak przyspieszyć i ułatwić DPIA

Nie ma potrzeby przeprowadzania odrębnej DPIA dla każdej operacji przetwarzania, jeśli poszczególne operacje są podobne pod względem rodzaju, zakresu, kontekstu, celu i ryzyka. Zgodnie z art. 35 ust. 1 RODO dla takich operacji można wykonać jedną, wspólną ocenę. Może to dotyczyć zarówno operacji prowadzonych przez jednego administratora (np. podmiot z branży kolejowej instaluje system CCTV na wszystkich stacjach), jak i przez różnych administratorów (np. kilka urzędów miejskich instaluje analogiczny system CCTV). Oznacza to, że dopuszczalne jest stworzenie oceny referencyjnej, z której korzysta wiele podmiotów. Przy czym wykorzystanie takiej oceny wymaga udokumentowanego uzasadnienia.

Innym sposobem ułatwienia procesu DPIA jest wykorzystanie oceny referencyjnej przygotowanej przez dostawcę produktu. Administrator wdrażający rozwiązanie dostarczone przez dostawcę (np. sprzęt lub oprogramowanie) może przeprowadzić DPIA od podstaw albo oprzeć się na ocenie, którą przygotował dostawca. Taka referencyjna DPIA może też posłużyć jako szablon lub punkt wyjścia, aby skrócić proces wykonywania DPIA we własnym zakresie.

Przeprowadzenie DPIA jest łatwiejsze również dzięki dobrej współpracy z podmiotem przetwarzającym. Dlatego w umowach powierzenia warto odpowiednio zabezpieczyć warunki oczekiwanego wsparcia ze strony podmiotów przetwarzających. Co więcej, art. 28 ust. 3 lit. f RODO wprost wymaga, aby w umowie powierzenia znalazło się zobowiązanie podmiotu przetwarzającego do pomocy administratorowi w wypełnianiu jego obowiązków, w tym w przeprowadzaniu DPIA. Zakres tej pomocy powinien uwzględniać charakter przetwarzania oraz informacje dostępne podmiotowi przetwarzającemu.

Jakie są największe wyzwania w procesie DPIA

Jednym z największych wyzwań związanych z prawidłowym prowadzeniem DPIA jest stałe monitorowanie organizacji w celu identyfikacji procesów wymagających oceny. W praktyce oznacza to konieczność bieżącego śledzenia zmian w procedurach i systemach, co bywa trudne szczególnie w większych strukturach.

Proces DPIA jest niewątpliwie skomplikowany. Wymaga odpowiedniego poziomu wiedzy i doświadczenia. Niezbędna jest znajomość prawa, obowiązujących procedur, jak również charakterystyki stosowanych zabezpieczeń. Doświadczenie w tych obszarach pomaga w doborze środków zaradczych, które są skuteczne i efektywne ekonomiczne. Dlatego wytyczne EROD zalecają udział w procesie DPIA ekspertów z różnych dziedzin – prawników, informatyków, specjalistów ds. bezpieczeństwa. Oznacza to jednak konieczność sprawnej koordynacji zbierania informacji z różnych działów. Brak odpowiedniej komunikacji może wydłużyć i utrudnić cały proces.

Zasadne jest zatem stworzenie zespołu, który przeprowadzi DPIA. Zwykle wiąże się to z przypisaniem wybranym pracownikom dodatkowych, stałych funkcji. W przypadku gdy personel wewnętrzny organizacji nie posiada wymaganych kwalifikacji albo posiada takie kwalifikacje, lecz kluczowe osoby są mocno zaangażowane w bieżące, pilne zadania, optymalnym rozwiązaniem jest powierzenie realizacji DPIA firmie zewnętrznej.

Outsourcing to dogodna alternatywa wobec tworzenia wewnętrznego zespołu. Takie rozwiązanie zapewnia dostęp do specjalistycznej wiedzy, pozwala uniknąć kosztownych błędów i ułatwia wdrożenie rozwiązań zgodnych z najlepszymi praktykami. Korzystanie z pomocy firm zewnętrznych jest też zazwyczaj atrakcyjne pod względem ekonomicznym, ponieważ pozwala dostosować skalę świadczonej usługi do wielkości i potrzeb organizacji. Takie podejście umożliwia skuteczne i efektywne kosztowo zarządzanie procesem DPIA – który jest ważny, ale nie zawsze najważniejszy na liście priorytetów kierownictwa organizacji.

Co grozi za brak DPIA i czy nałożono już jakieś kary?

Brak przeprowadzenia oceny skutków dla ochrony danych (DPIA), gdy jest ona wymagana, lub wykonanie jej w sposób nieprawidłowy stanowi naruszenie RODO. W takiej sytuacji organ nadzorczy może nałożyć karę pieniężną do 20 mln euro lub 4% obrotu administratora. Kary za tego typu naruszenia są rzeczywiście stosowane.

18 grudnia 2024 r. Prezes UODO nałożył na Toyota Bank S.A. administracyjną karę pieniężną w wysokości 315 302 zł za pominięcie profilowania w rejestrze czynności przetwarzania danych oraz przy ocenie skutków dla ochrony danych. Kara została nałożona po ustaleniu przez Prezesa UODO, że bank profilował liczne dane klientów, aby określić ich zdolność kredytową. Profilowanie polegało na tworzeniu punktowej oceny ryzyka kredytowego i nadawaniu kategorii ryzyka zdefiniowanej przez bank (tzw. scoring). Bank nie podejmował decyzji dotyczących udzielenia kredytu w sposób zautomatyzowany, ale zdaniem organu specyfika profilowania – ze względu na dużą skalę tego działania, jego zakres, kontekst i cele – uzasadniała obowiązek przeprowadzenia DPIA dla tego procesu. Organ zwrócił również uwagę na korzystanie ze zautomatyzowanych środków technicznych oraz na kreowanie nowych informacji o osobach, co w razie udostępnienia tych informacji mogłoby prowadzić do negatywnych skutków. Do takich skutków zaliczył m.in. możliwość stygmatyzacji oraz dyskryminacji związanej z ryzykiem udostępnienia informacji o statusie majątkowym osób, które ubiegały się o kredyt. W wyroku z 18 września 2025 r. Wojewódzki Sąd Administracyjny w Warszawie podzielił argumentację organu i oddalił skargę administratora.

W 2025 r. hiszpański organ nadzorczy AEPD nałożył na firmę AENA, zarządcę lotnisk w Hiszpanii, karę pieniężną w wysokości 10 043 002 euro w związku z naruszeniem RODO przy wdrażaniu systemów rozpoznawania twarzy. Systemy te wdrożono pilotażowo na trzech hiszpańskich lotniskach, a następnie planowano rozszerzyć ich stosowanie na kolejne osiem lotnisk. Zakres przetwarzania obejmował ponad 62 000 osób. W ocenie organu firma AENA wykonała DPIA w sposób nieprawidłowy, ponieważ wybrane przez nią środki techniczne, polegające na scentralizowanym przechowywaniu wzorców biometrycznych, nie spełniały zasady konieczności i proporcjonalności. W ramach DPIA nie przeprowadzono również rzetelnej analizy innych rozwiązań, które mogłyby być równie skuteczne, a jednocześnie mniej inwazyjne. Alternatywy odrzucono pochopnie, kierując się jedynie wygodą operacyjną, a nie ochroną prywatności. Skupiono się na korzyściach zamiast na rzeczywistym bilansie zysków i strat dla praw i wolności pasażerów.

W 2025 r. hiszpański organ nadzorczy AEPD nałożył karę w wysokości 1 000 000 euro na Liga Nacional de Fútbol Profesional – stowarzyszenie sportowe znane jako LaLiga, zarządzające dwiema profesjonalnymi ligami piłkarskimi w Hiszpanii (Primera i Segunda División). Powodem nałożenia kary było niewykonanie DPIA przed wdrożeniem systemu kontroli dostępu do trybun kibiców na stadionach piłkarskich, opartego na danych biometrycznych (rozpoznawanie twarzy oraz odciski palców). Organ odrzucił argumentację LaLiga, że nie była administratorem danych. Wskazał, że to LaLiga zaprojektowała system i narzuciła go klubom. Organ stwierdził ponadto, że przetwarzanie danych biometrycznych na dużą skalę, tj. danych tysięcy kibiców, wiąże się z wysokim ryzykiem dla praw i wolności osób oraz bezwzględnie wymaga uprzedniej DPIA

 W 2023 r. holenderski organ nadzorczy AP nałożył karę w wysokości 150 000 euro na firmę International Card Services B.V. (ICS) z uwagi na brak wykonania DPIA. Z ustaleń organu wynika, że firma ICS przetwarzała dane ok. 1,5 mln klientów, co wskazywało na spełnienie kryterium „dużej skali”. Ponadto ICS przetwarzała szeroki zakres informacji dotyczących osób, co uzasadniało spełnienie kryterium „danych wrażliwych”. Ich zakres obejmował: imię i nazwisko, datę i miejsce urodzenia, numer telefonu, adres e-mail, płeć, numer BSN (odpowiednik PESEL), numer dokumentu tożsamości, wizerunek z dokumentu tożsamości oraz tzw. zdjęcie liveness (zdjęcia tego typu służą do potwierdzenia, że mamy do czynienia z żywą i fizycznie obecną osobą, a nie np. ze zdjęciem, z nagraniem wideo czy maską). Firma ICS nie odwołała się od decyzji, w związku z czym kara jest ostateczna.

W 2020 r. norweski organ nadzorczy Datatilsynet nałożył karę w wysokości równowartości 46 660 euro na gminę Rælingen m.in. za niewykonanie DPIA przed wdrożeniem aplikacji Showbie, służącej do komunikacji z rodzicami uczniów. Aplikacja umożliwiała przesyłanie informacji o stanie zdrowia dzieci z niepełnosprawnościami, o podawanych lekach i o diagnozach. Organ podkreślił, że dane osobowe dzieci wymagają szczególnej ochrony. Wskazał również, że gdyby administrator przeprowadził DPIA, mógłby wykryć, że aplikacja Showbie nie zapewniała odpowiedniego poziomu bezpieczeństwa przy przetwarzaniu danych medycznych (np. nie stosowano uwierzytelniania dwuskładnikowego).