DPIA (Data Protection Impact Assessment) służy ocenie skutków dla ochrony danych oraz wzmacnia przestrzeganie Rozporządzenia o ochronie danych osobowych, szczególnie wtedy, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.
Zgodnie z art. 35 ust. 1 RODO, jeżeli rodzaj przetwarzania odbywa się z użyciem nowych technologii lub ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.
DPIA jest zatem narzędziem pomagającym budować procesy ochrony danych osobowych zgodnie z RODO. To działanie, którego produktem jest ocena, czy przy przetwarzaniu danych osobowych występuje ryzyko naruszenia praw osób, których dane dotyczą. Przykładowe naruszenia to kradzież tożsamości, dyskryminacja, szkoda finansowa, szkoda wizerunkowa i naruszenie tajemnicy zawodowej. DPIA dokonuje się dla procesów przetwarzania danych, a ocena obejmuje wszystkie operacje przetwarzania w danym procesie – od momentu pozyskania danych, do ich archiwizacji lub zniszczenia.
Etap I - Opis planowanych operacji przetwarzania z uwzględnieniem celów przetwarzania (art. 35 ust. 1 Rozporządzania RODO).
Etap II - Ocena operacji przetwarzania pod kątem proporcjonalności i niezbędności w stosunku do celów.
Etap III - Przeprowadzenie oceny ryzyka naruszenia praw i wolności, osób, których dane dotyczą (podmiotów danych).
Etap IV – Wyznaczenie środków zaradzających ryzyku, zabezpieczeń oraz środków i mechanizmów bezpieczeństwa, które zapewnią ochronę danych osobowych i wykażą przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Etap V - Opracowanie oraz wdrożenie właściwej dokumentacji.
Etap VI - Monitoring wdrożonych rozwiązań, dokonywanie regularnych przeglądów.
Należy dokonać ogólnej oceny ryzyka, czy proces przetwarzania ma wysoki stopień prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą oraz następnie dokonać pogłębionej analizy.
Co istotne, opis planowanych operacji i celów przetwarzania powinien być udokumentowany w celu rozliczalności.
Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.
Administrator danych osobowych dokonując oceny skutków dla ochrony danych osobowych musi spełnić obowiązki:
Jednym z obowiązków Administratora danych osobowych jest konsultowanie z Inspektorem ochrony danych kwestii związanych z oceną skutków dla ochrony danych osobowych, szczególnie w kwestii: