Co to jest DPIA?

DPIA (Data Protection Impact Assessment) służy ocenie skutków dla ochrony danych oraz wzmacnia przestrzeganie Rozporządzenia o ochronie danych osobowych, szczególnie wtedy, gdy operacje przetwarzania mogą wiązać się z wysokim ryzykiem naruszenia praw lub wolności osób fizycznych.

Zgodnie z art. 35 ust. 1 RODO, jeżeli rodzaj przetwarzania odbywa się z użyciem nowych technologii lub ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, Administrator przed rozpoczęciem przetwarzania dokonuje oceny skutków planowanych operacji przetwarzania dla ochrony danych osobowych.

DPIA jest zatem narzędziem pomagającym budować procesy ochrony danych osobowych zgodnie z RODO. To działanie, którego produktem jest ocena, czy przy przetwarzaniu danych osobowych występuje ryzyko naruszenia praw osób, których dane dotyczą. Przykładowe naruszenia to kradzież tożsamości, dyskryminacja, szkoda finansowa, szkoda wizerunkowa i naruszenie tajemnicy zawodowej. DPIA dokonuje się dla procesów przetwarzania danych, a ocena obejmuje wszystkie operacje przetwarzania w danym procesie – od momentu pozyskania danych, do ich archiwizacji lub zniszczenia.

Jak prawidłowo przeprowadzić DPIA?


Etap I – Opis planowanych operacji przetwarzania z uwzględnieniem celów przetwarzania (art. 35 ust. 1 Rozporządzania RODO).
Etap II – Ocena operacji przetwarzania pod kątem proporcjonalności i niezbędności w stosunku do celów.
Etap III – Przeprowadzenie oceny ryzyka naruszenia praw i wolności, osób, których dane dotyczą (podmiotów danych).
Etap IV – Wyznaczenie środków zaradzających ryzyku, zabezpieczeń oraz środków i mechanizmów bezpieczeństwa, które zapewnią ochronę danych osobowych i wykażą przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Etap V – Opracowanie oraz wdrożenie właściwej dokumentacji.
Etap VI – Monitoring wdrożonych rozwiązań, dokonywanie regularnych przeglądów.

Należy dokonać ogólnej oceny ryzyka, czy proces przetwarzania ma wysoki stopień prawdopodobieństwa naruszenia praw i wolności osób, których dane dotyczą oraz następnie dokonać pogłębionej analizy.
Co istotne, opis planowanych operacji i celów przetwarzania powinien być udokumentowany w celu rozliczalności.

Kiedy należy przeprowadzić DPIA?


Rozporządzenie o ochronie danych osobowych wskazuje na sytuacje w jakich Administrator danych osobowych ma obowiązek przeprowadzenie DPIA, ale także zobowiązuje Organ nadzorczy – Prezesa Urzędu Ochrony Danych Osobowych do przygotowania oraz opublikowania wykazu rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych.
Wykaz czynności wymagających dokonania DPIA zawarto w Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Pełny wykaz dostępny jest pod adresem: http://monitorpolski.gov.pl/MP/2018/827/ .
Ocenę skutków dla ochrony danych osobowych (DPIA) należy przeprowadzić więc w odniesieniu do sytuacji, w której przetwarzanie danych osobowych może prowadzić do wystąpienia wysokiego ryzyka (art. 35 ust. 3 Rozporządzenia RODO).
Prowadzenie DPIA ma zastosowanie do:

 • Systematycznej i kompleksowej oceny czynników osobowych, odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu lub profilowaniu,i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub znacząco wpływających na osobę fizyczną;
 • Przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i czynów zabronionych, o czym mowa w art. 10;

Systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Podstawowe obowiązki w związku z DPIA


Administrator danych osobowych dokonując oceny skutków dla ochrony danych osobowych musi spełnić obowiązki:

 • Potwierdzić prawdopodobieństwo wysokiego ryzyka, czyli wskazać podstawę do przeprowadzenia DPIA;
 • Powiadomić Inspektora Ochrony Danych – jeżeli został wyznaczony;
 • Uwzględnić zatwierdzony kodeks postępowania (art. 40 Rozporządzania);
 • Uwzględnić opinie osób, których dane dotyczą lub ich przedstawicieli.

Konsultacje z Inspektorem ochrony danych


Jednym z obowiązków Administratora danych osobowych jest konsultowanie z Inspektorem ochrony danych kwestii związanych z oceną skutków dla ochrony danych osobowych, szczególnie w kwestii:

 • czy należy przeprowadzić wewnętrzną ocenę skutków dla ochrony danych;
 • metodologii przeprowadzenia oceny skutków dla ochrony danych;
 • zabezpieczeń (środków technicznych i organizacyjnych) stosowanych do łagodzenia wszelkich zagrożeń praw i interesów osób, których dane dotyczą;
 • prawidłowości przeprowadzonej oceny skutków dla ochrony danych i zgodności jej wyników z wymogami ochrony danych.

Trzy podstawowe zalety DPIA:


 1. Świadomość i możliwość decydowania, co dzieje się z  danymi osobowymi (np. obowiązek poinformowania o pozyskaniu danych, większe prawa obywateli),
 2. Większe bezpieczeństwo danych (dzięki analizie ryzyka),
 3. Mniej nadużyć związanych z danymi (dzięki wdrożeniu rekomendacji z DPIA).