Przejdź do treści
Compliance

DPIA

DPIA (Data Protection Impact Assessment) — ocena skutków dla ochrony danych, obowiązkowa analiza ryzyka dla przetwarzań mogących powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych (art. 35 RODO).

Co to jest DPIA?

DPIA (Data Protection Impact Assessment), po polsku ocena skutków dla ochrony danych lub OSOD, to obowiązkowa procedura analizy ryzyka wymagana przez art. 35 RODO dla przetwarzań mogących powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych.

DPIA dokumentuje: (1) opis czynności przetwarzania i jego celów, (2) ocenę niezbędności i proporcjonalności, (3) ocenę ryzyka dla podmiotów danych, (4) środki przewidziane do zaradzenia ryzyku (TOM — technical and organizational measures).

Kiedy DPIA jest obowiązkowe?

Art. 35.3 RODO wymienia 3 sytuacje wymuszające DPIA. UODO (Prezes UODO) opublikował rozszerzoną listę 12 typów przetwarzań wysokiego ryzyka (komunikat z 2018, aktualizowany):

  1. Profilowanie i scoring — systematyczna ocena aspektów osobowych, w tym AI/ML podejmujące decyzje
  2. Dane szczególnej kategorii na dużą skalę — zdrowie, biometria, pochodzenie, przekonania, orientacja
  3. Systematyczny monitoring — CCTV w miejscach publicznych, tracking pracowników
  4. Przetwarzanie danych osób podatnych — dzieci, pracownicy, pacjenci
  5. Innowacyjne technologie — IoT, AI, blockchain, rozpoznawanie biometryczne
  6. Transfery do państw trzecich bez adekwatnego poziomu ochrony
  7. Przetwarzanie uniemożliwiające wykonanie praw przez podmiot danych
  8. Łączenie zbiorów danych z różnych źródeł w celu nowej oceny
  9. Decyzje zautomatyzowane wywołujące skutki prawne
  10. Wielkoskalowe przetwarzanie danych pracowniczych
  11. Dane lokalizacyjne/geolokalizacja w aplikacjach mobilnych
  12. Nowe zastosowania istniejących technologii (np. rozpoznawanie twarzy w sklepach)

Metodyka DPIA — 6 kroków

  1. Opis przetwarzania — cel, podstawa prawna, kategorie danych, odbiorcy, czas przechowywania, przepływy danych (DFD)
  2. Ocena niezbędności — czy cel można osiągnąć mniej inwazyjnymi środkami? Minimalizacja danych.
  3. Identyfikacja ryzyk — katalog zagrożeń (utrata poufności, dostępności, integralności; dyskryminacja; utrata kontroli; reputational damage)
  4. Ocena ryzyk — prawdopodobieństwo × waga skutków → macierz ryzyka (niska/średnia/wysoka/krytyczna)
  5. Środki zaradcze (TOM) — techniczne (szyfrowanie, pseudonimizacja, kontrola dostępu, logi) + organizacyjne (polityki, szkolenia, umowy powierzenia)
  6. Konsultacja i decyzja — konsultacja z IOD (obowiązkowa), dokumentacja decyzji administratora, ewentualna konsultacja uprzednia z UODO (art. 36 RODO) jeśli ryzyko pozostaje wysokie

Kto wykonuje DPIA?

Odpowiedzialny: administrator danych. Zespół wykonawczy:

  • IOD — konsultacja obligatoryjna (art. 35.2 RODO)
  • Właściciel procesu — wiedza merytoryczna o celu i sposobie przetwarzania
  • IT/Security — projektowanie i ocena TOM
  • Prawnik/RODO specjalist — podstawy prawne, dokumentacja, zgodność

DPIA a RODO — relacja

DPIA to jeden z kluczowych obowiązków administratora (art. 35), wpisujący się w zasadę accountability (art. 5.2 RODO — rozliczalność). Brak wykonania DPIA, gdy było wymagane, to naruszenie mogące skutkować karą do 10 mln EUR lub 2% globalnego obrotu (art. 83.4). W praktyce UODO w 2023 r. nałożył kary za brak DPIA na kwotę przeszło 3 mln PLN.

Sprawdź nasze usługi

Najczęściej zadawane pytania

+ Co to jest DPIA?

DPIA (Data Protection Impact Assessment) to ocena skutków dla ochrony danych — procedura analizy ryzyka wymagana przez art. 35 RODO dla przetwarzań mogących powodować wysokie ryzyko dla praw i wolności osób fizycznych. Wynikiem DPIA jest raport dokumentujący zidentyfikowane ryzyka, zastosowane środki techniczne i organizacyjne oraz decyzję administratora o dopuszczalności przetwarzania.

+ Kiedy DPIA jest obowiązkowe?

DPIA jest obowiązkowe gdy: (1) przetwarzanie obejmuje systematyczną, szeroką ocenę osób (profilowanie, scoring), (2) przetwarzane są dane szczególnej kategorii na dużą skalę (zdrowie, biometria, pochodzenie), (3) prowadzony jest systematyczny monitoring miejsc publicznych. UODO opublikował zamkniętą listę 12 typów przetwarzań wysokiego ryzyka — jeśli choć jeden pasuje, DPIA jest wymagane.

+ Czym DPIA różni się od oceny ryzyka?

Ocena ryzyka bezpieczeństwa (np. wg ISO 27005) analizuje ryzyka dla organizacji — utrata poufności, dostępności, integralności. DPIA analizuje ryzyka dla osób fizycznych, których dane są przetwarzane — naruszenie prywatności, dyskryminacja, utrata kontroli nad danymi. DPIA uwzględnia perspektywę podmiotu danych, nie administratora. Oba dokumenty często współistnieją i wzajemnie się uzupełniają.

+ Kto wykonuje DPIA?

Odpowiedzialny jest administrator danych. W praktyce DPIA przygotowuje zespół: IOD (konsultacja obowiązkowa wg art. 35.2 RODO), właściciel procesu biznesowego, IT/security (techniczne środki zabezpieczające), prawnik (podstawy prawne, dokumentacja). Dla złożonych przetwarzań (np. AI, scoring) warto zaangażować zewnętrznego eksperta z doświadczeniem w DPIA.

+ Ile kosztuje DPIA?

Koszt zewnętrznego DPIA zależy od złożoności przetwarzania: proste DPIA (jedno przetwarzanie, standardowe kategorie danych) — 8-15 tys. zł, średnie (wiele powiązanych przetwarzań, profilowanie) — 15-35 tys. zł, złożone (systemy AI, decyzje zautomatyzowane, przetwarzanie transgraniczne) — 35-80 tys. zł. W cenie zazwyczaj raport DPIA, rejestr czynności przetwarzania i rekomendacje technical and organizational measures (TOM).

Tagi:

rodo gdpr compliance privacy dpia

Chcesz obniżyć ryzyko i koszty IT?

Umów bezpłatną konsultację - odpowiemy w ciągu 24h

Odpowiedź w 24h Bezpłatna wycena Bez zobowiązań
Umów rozmowę +48 22 487 86 36

Lub pobierz bezpłatny przewodnik:

Pobierz checklistę NIS2