DPIA – ocena skutków dla ochrony danych

Proces ten ma być realizowany przed przystąpieniem do przetwarzania danych (na etapie planowania) i dotyczy niektórych rodzajów przetwarzania, z którymi może wiązać się wysokie ryzyko.

DPIA stosuję się w szczególności gdy:

1. dokonuje się systematycznej, kompleksowej, zautomatyzowanej oceny czynników osobowych, na podstawie której podejmowane są decyzje wywołujące skutki prawne wobec osoby fizycznej;
2. przetwarza się na dużą skalę wrażliwe dane osobowe;
3. systematycznie monitoruje się na dużą skalę miejsca dostępne publicznie.

Oceniając czy w naszym przypadku jest wymagana ocena skutków dla ochrony danych należy zweryfikować m.in. następujące kryteria:

1. przetwarzanie danych na dużą skalę;
2. innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych, np. wykorzystywanie analizy przy użyciu aplikacji mobilnych przekazujących dane dostawcom z urządzeń takich jak smartwatche, inteligentne opaski lub beacony;
3. przetwarzanie szczególnych kategorii danych osobowych, np. gromadzenie dokumentacji medycznej;
4. ocena oraz scoring – profilowanie oraz przewidywanie, w szczególności dotyczące takich danych, jak: zdrowie, zainteresowania, lokalizacja;
5. zautomatyzowane podejmowanie decyzji wywołujące skutki prawne;
6. systematyczne monitorowanie miejsc dostępnych publicznie, mające na celu obserwowanie podmiotu danych osobowych.

Gdy spełni się co najmniej jeden z wymienionych przypadków, należy dokonać DPIA.

Jeżeli w danej organizacji został powołany inspektor danych osobowych, to wtedy należy konsultować z nim obowiązek przeprowadzenia DPIA oraz we współpracy z nim jej dokonywać.