W jednym zdaniu. Ocena skutków dla ochrony danych (DPIA) jest obowiązkowa dla operacji powodujących wysokie ryzyko dla osób fizycznych — UODO opublikował 12-pozycyjny wykaz takich operacji w Monitorze Polskim z 2018 r.
Najważniejsze punkty
- Podstawa: art. 35 RODO + komunikat Prezesa UODO (M.P. 2018 poz. 827, nowelizacja 2019).
- 12 kategorii operacji obowiązkowo wymagających DPIA w Polsce.
- DPIA musi poprzedzać rozpoczęcie przetwarzania.
- Wysokie ryzyko rezydualne — konsultacja uprzednia z UODO (art. 36).
- Niewykonanie DPIA — sankcja do 10 mln EUR lub 2% obrotu.
- DPIA jest dokumentem żywym — aktualizacja przy zmianach.
1. Podstawa prawna DPIA
Art. 35 RODO wymaga DPIA, gdy operacja przetwarzania “ze względu na swój charakter, zakres, kontekst i cele z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych”. Wytyczne EROD WP248 wskazują 9 kryteriów ryzyka — spełnienie 2 lub więcej zwykle uruchamia obowiązek DPIA.
2. Wykaz UODO — operacje wymagające DPIA
Komunikat Prezesa UODO (Monitor Polski 2018 poz. 827) wymienia m.in.:
- Ewaluacja lub ocena, w tym profilowanie (scoring kredytowy, ocena pracownicza).
- Decyzje automatyczne (art. 22 RODO).
- Systematyczny monitoring (CCTV w miejscach publicznych).
- Dane szczególnych kategorii lub karne na dużą skalę.
- Dane dotyczące osób wymagających szczególnej opieki (dzieci, pracownicy).
- Innowacyjne wykorzystanie technologii (biometria, AI).
- Transfery do państw trzecich z ryzykiem.
- Dane lokalizacyjne pracowników.
- Łączenie zbiorów z różnych źródeł.
- Operacje uniemożliwiające osobom korzystanie z usługi.
- Przetwarzanie biometryczne do identyfikacji.
- Dane medyczne na dużą skalę.
3. Kryteria EROD WP248
| Kryterium | Przykład |
|---|---|
| Ewaluacja/scoring | scoring BIK |
| Decyzje automatyczne | odmowa kredytu |
| Systematyczny monitoring | CCTV centrum miasta |
| Dane wrażliwe | dokumentacja medyczna |
| Duża skala | platforma 1M+ użytkowników |
| Dopasowanie zbiorów | profile cross-platform |
| Dane słabszych grup | pacjenci, pracownicy |
| Nowe technologie | rozpoznawanie twarzy |
| Wykluczenie | scoring odmowy usługi |
4. Struktura DPIA
Art. 35 ust. 7 RODO wskazuje minimalną treść DPIA: systematyczny opis operacji, ocena niezbędności i proporcjonalności, ocena ryzyk dla praw i wolności, środki planowane dla ograniczenia ryzyka. W praktyce DPIA zawiera 20-30 stron i pokrywa: kontekst, cele, podstawę prawną, przepływy danych, role, retencję, zabezpieczenia, analizę ryzyka.
5. Metodyka analizy ryzyka
Polskie i unijne metodyki: ENISA Risk Management Framework, CNIL PIA Method (najpopularniejsza w UE), ISO 31000, NIST 800-30. Krok 1 — identyfikacja zagrożeń (przykładowe katalogi: nieautoryzowany dostęp, modyfikacja, utrata). Krok 2 — analiza prawdopodobieństwa i wpływu. Krok 3 — kalkulacja ryzyka (matryca 5x5). Krok 4 — środki mitigujące. Krok 5 — ryzyko rezydualne.
6. Konsultacja uprzednia (art. 36)
Jeśli po wdrożeniu środków ryzyko rezydualne pozostaje wysokie, administrator przed rozpoczęciem przetwarzania konsultuje DPIA z UODO. UODO ma 8 tygodni (z przedłużeniem 6 tygodni) na pisemne stanowisko. W praktyce konsultacje są rzadkie — kilkanaście rocznie w Polsce, najczęściej dotyczą systemów biometrycznych i AI.
7. DPIA dla AI i systemów algorytmicznych
AI Act (rozporządzenie 2024/1689) wprowadza FRIA (Fundamental Rights Impact Assessment) dla systemów wysokiego ryzyka. DPIA i FRIA są komplementarne — DPIA skupia się na danych, FRIA na prawach podstawowych. Dla większości operacji AI wykorzystujących dane osobowe konieczne są oba dokumenty.
8. DPIA pracowniczy
Monitoring pracowników (geolokalizacja pojazdów służbowych, monitoring komputerów, analiza wydajności) wymaga DPIA. UODO konsekwentnie kwalifikuje pracowników jako osoby w pozycji nierównowagi, co podwyższa ryzyko. Konsultacje z reprezentacją pracowniczą (Kodeks pracy art. 22^2^ i 22^3^) są obowiązkowe niezależnie od DPIA.
9. DPIA w monitoringu wizyjnym
Monitoring na dużą skalę miejsc dostępnych publicznie wymaga DPIA. Kryteria “dużej skali”: liczba kamer, obszar, czas, gęstość pikseli, technologie analityczne (face recognition, behavior analysis). Wymagana: ocena alternatyw, ocena proporcjonalności, signalistyka, retencja maksimum 3 miesiące (KP art. 22^2^), polityka dostępu.
10. Aktualizacja DPIA
DPIA nie jest dokumentem jednorazowym. Wytyczne WP248: przegląd po zmianie technologii, celów, podmiotów przetwarzających, kategorii danych, podstawy prawnej, środków bezpieczeństwa. Rekomendacja: przegląd raz w roku oraz przy każdej istotnej zmianie. Wersjonowanie i log zmian — w aktach DPIA.
11. Sprawy UODO z udziałem DPIA
UODO weryfikuje DPIA w niemal każdym postępowaniu kontrolnym. Brak DPIA był jednym z zarzutów wobec szeregu administratorów z sektora publicznego (monitoring, dziennik elektroniczny). W 2024 r. zwrócono uwagę na DPIA niespełniające standardów — formalne dokumenty bez rzeczywistej analizy ryzyka.
12. Praktyka — szablon DPIA
Minimum: (1) Strona tytułowa z numerem i datą, (2) Opis operacji + diagram przepływów, (3) Niezbędność i proporcjonalność z uzasadnieniem podstawy, (4) Macierz ryzyka, (5) Środki mitigujące, (6) Ryzyko rezydualne, (7) Konsultacje (IOD, osoby), (8) Zatwierdzenie kierownictwa, (9) Plan przeglądu. Zobacz też angielską DPIA guide oraz GDPR risk assessment.
13. Polskie sprawy enforcement DPIA
UODO w decyzji wobec niepublicznego szpitala (2023, 80 tys. zł) wskazał brak DPIA dla EDM jako jeden z głównych zarzutów. Cyfrowy Polsat (DKN.5131.40.2022) — brak DPIA dla operacji big-data marketingowych. Główny Geodeta Kraju (100 tys. zł, 2020) — brak DPIA dla geoportalu udostępniającego dane działek wraz z danymi właścicieli. P4 sp. z o.o. (operator Play) — niewystarczająca DPIA dla profilowania marketingowego. W sektorze publicznym najczęstsza kategoria upomnień to brak DPIA dla monitoringu wizyjnego w przestrzeni publicznej (kamery miejskie, placówki edukacyjne, kąpieliska). UODO publikuje wzory DPIA dla wybranych sektorów (zdrowie, oświata, samorząd). Patrz Kary UODO 2025.
14. Najlepsze praktyki DPIA — checklista jakościowa
Solidna DPIA spełnia 10 kryteriów: (1) udokumentowana data sprzed rozpoczęcia przetwarzania, (2) konkretny opis celu i podstawy prawnej (nie “marketing” tylko “wysyłka newslettera promocyjnego 1x/mies. do segmentu A”), (3) diagram przepływów z wszystkimi procesorami i sub-procesorami, (4) inwentaryzacja kategorii danych z liczbami rekordów, (5) realna analiza alternatyw (nie “zrobiliśmy bo musieliśmy”), (6) macierz ryzyka z konkretnymi scenariuszami zagrożeń (nie ogólnik “ryzyko wycieku”), (7) mapowanie środków mitigujących do konkretnych zagrożeń, (8) konsultacje udokumentowane (IOD, osoby fizyczne tam gdzie zasadne), (9) ryzyko rezydualne z podpisem zarządu, (10) plan przeglądu z konkretną datą i triggerami zmian. UODO podczas kontroli sprawdza wszystkie 10 elementów. Patrz RODO Art. 32 bezpieczeństwo, RODO Art. 5 zasady.
FAQ
Kto sporządza DPIA — IOD czy administrator?
Odpowiedzialność spoczywa na administratorze. IOD doradza i monitoruje (art. 39 ust. 1 lit. c), ale nie podpisuje DPIA jako autor. W praktyce DPIA tworzy zespół: biznes, IT, IOD, prawnik, kierownictwo.
Czy MŚP musi robić DPIA?
Tak, jeśli operacja jest na liście UODO lub spełnia kryteria EROD. Wielkość firmy nie zwalnia z obowiązku — ważny jest charakter operacji.
Ile kosztuje DPIA?
Wewnętrzna: czas zespołu (40-120 godzin). Zewnętrzna kancelaria/konsultant: 8-30 tys. zł za standardową operację, 30-100 tys. zł za system biometryczny lub AI.
Czy mogę nie publikować DPIA?
DPIA nie jest publiczna z mocy prawa, ale wytyczne EROD zalecają publikację streszczenia (bez wrażliwych szczegółów technicznych) jako element transparentności. Sektor publiczny — zwykle udostępnia DPIA na wniosek o informację publiczną.
Jak długo trwa konsultacja z UODO?
8 tygodni od kompletnego wniosku, z możliwością przedłużenia o 6 tygodni. W praktyce 3-6 miesięcy. Stanowisko UODO nie jest decyzją administracyjną — nie podlega odwołaniu.
Czy istnieje wykaz operacji nie wymagających DPIA?
Tak. Komunikat Prezesa UODO z 2019 r. zawiera negatywną listę operacji typowych dla MŚP, które same w sobie nie wymagają DPIA: prowadzenie dokumentacji pracowniczej zgodnie z KP, fakturowanie i księgowość, klasyczna obsługa klienta bez profilowania, newsletter z opt-in i łatwym wycofaniem, kontakty B2B, ewidencja kontrahentów. Wykaz negatywny nie ma charakteru wyczerpującego — analiza ryzyka pozostaje obowiązkowa. Dla operacji z pogranicza (np. cookies analityczne + remarketing) UODO rekomenduje przygotowanie DPIA “z ostrożności”.
Jak DPIA współgra z LIA (Legitimate Interest Assessment)?
Komplementarnie. LIA dotyczy oceny podstawy prawnej z art. 6 ust. 1 lit. f, DPIA — oceny ryzyka dla osób fizycznych. Operacja oparta na interesie uzasadnionym i jednocześnie powodująca wysokie ryzyko wymaga obu dokumentów. Praktyczna konsekwencja: LIA może być załącznikiem do DPIA, ale nie zastępuje samodzielnej analizy ryzyka. UODO weryfikuje oba dokumenty osobno.
Co jeśli odkryję wysokie ryzyko po rozpoczęciu przetwarzania?
Natychmiast przerwij operację lub wprowadź środki mitigujące, sporządź DPIA wstecznie z datą rzeczywistą, udokumentuj okoliczności wykrycia, rozważ konsultację uprzednią z UODO. Brak DPIA przed rozpoczęciem operacji jest naruszeniem art. 35 ust. 1 — ale udokumentowane szybkie działania korygujące są okolicznością łagodzącą przy ewentualnym postępowaniu. Praktyka pokazuje, że wczesne dobrowolne ujawnienie i mitigacja obniża karę o 30-40%.
Podstawa prawna i źródła
Legiscope automates this for you
Stop doing compliance manually. Legiscope's AI handles ROPA creation, DPA audits, and gap analysis — in minutes, not weeks.
Start free trial