Kiedy należy wykonać ocenę skutków dla ochrony danych (DPIA)?

Przeprowadzenie oceny skutków dla ochrony danych  jest nowym obowiązkiem, który ciąży na administratorze. Oceny skutków dokonujemy po przeprowadzeniu podstawowej analizy ryzyka, w przypadku stwierdzenia w danym procesie „wysokiego ryzyka naruszenia praw lub wolności osób fizycznych”. W Art. 35 ust. 3 RODO przedstawiono kilka przykładów, gdy operacja przetwarzania „może powodować wysokie ryzyko”, w szczególności w przypadku:

• systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
• przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10.
• systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Szczegółowe wytyczne dot.  konieczności wykonania oceny skutków dla ochrony danych znajdują się w „Komunikacie Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 sierpnia 2018 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony”.