Ocena skutków dla ochrony danych (DPiA) jest procesem, który ma na celu zidentyfikować i zminimalizować ryzyko naruszenia praw i wolności osób, których dane dotyczą, w związku z operacjami przetwarzania danych osobowych. DPiA jest wymagana przez Rozporządzenie o ochronie danych osobowych (RODO), jeśli operacje przetwarzania mogą powodować wysokie ryzyko naruszenia tych praw i wolności.
Niektóre przykłady sytuacji, w których należy dokonać DPiA, to:
- systematyczna, kompleksowa, zautomatyzowana ocena czynników osobowych, na podstawie której podejmowane są decyzje wywołujące skutki prawne wobec osoby fizycznej, np. profilowanie kredytowe, ocena ryzyka ubezpieczeniowego, selekcja pracowników
- przetwarzanie na dużą skalę wrażliwych danych osobowych, np. danych dotyczących zdrowia, orientacji seksualnej, poglądów politycznych, przynależności religijnej, danych biometrycznych lub genetycznych
- systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie, np. za pomocą kamer CCTV, dronów, urządzeń śledzących
DPiA powinna być przeprowadzana przed rozpoczęciem operacji przetwarzania i powinna być traktowana nie jako jednorazowe badanie, ale jako rozwijające się narzędzie. W przypadku zmiany ryzyka naruszenia praw lub wolności osób fizycznych, należy zaktualizować DPiA. W ramach dobrych praktyk, zaleca się dokonywanie DPiA raz w roku.
DPiA powinna zawierać następujące elementy:
- opis operacji przetwarzania i celów przetwarzania, w tym, w miarę możliwości, prawnie uzasadnionych interesów administratora
- ocenę potrzeby i proporcjonalności operacji przetwarzania w odniesieniu do celu
- ocenę ryzyka naruszenia praw i wolności osób, których dane dotyczą
- środki, gwarancje i mechanizmy mające na celu zapewnienie ochrony danych osobowych i wykazanie zgodności z RODO, w tym zabezpieczenia, o których mowa w art. 32 RODO
W przypadku, gdy DPiA wykaże, że operacje przetwarzania wiążą się z wysokim ryzykiem, któremu nie można zapobiec za pomocą wdrożonych środków, administrator powinien skonsultować się z organem nadzorczym, czyli Prezesem Urzędu Ochrony Danych Osobowych, przed rozpoczęciem przetwarzania.