Organ nadzorczy publikuje wskazówki dotyczące DPIA

16.04.2025

Redakcja

Prezes Urzędu Ochrony Danych Osobowych opublikował na swojej stronie internetowej wskazówki, mające pomóc administratorom ocenić, czy dane procesy przetwarzania wymagają przeprowadzenia oceny skutków dla ochrony danych (DPIA). W ramach wskazówek, Prezes UODO m.in. przypomniał dwanaście kryteriów, stanowiących punkty odniesienia dla oceny czy taka analiza jest niezbędna. Zwrócił on również uwagę na kwestię AI. Wskazówki są kolejnym przejawem zintensyfikowanej działalności edukacyjnej prowadzonej przez organ nadzorczy.

Organ nadzorczy w ostatnim czasie intensywnie pracuje nad poszerzeniem prowadzonej przez siebie działalności edukacyjnej. Niedawno został wydany bardzo obszerny poradnik dotyczący problematyki naruszeń danych osobowych, a dalsze poradniki – według doniesień regulatora – są w trakcie opracowywania. Pod koniec marca opublikowano kolejne materiały edukacyjne – tym razem krótki zestaw wskazówek dotyczących problematyki DPIA.

Wskazówki odnoszą się do realizacji obowiązku określonego w art. 35 RODO, tj. obowiązku przeprowadzenia DPIA, jeżeli dany proces przetwarzania z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych. Prezes UODO zaznacza, że każdy proces przetwarzania powinien zostać poddany wstępnej ocenie pod kątem konieczności przeprowadzenia DPIA. Istotę tych wskazówek stanowią instrukcje ułatwiające przeprowadzenie takiej oceny oraz kryteria, które mogą zostać wzięte pod uwagę w jej ramach.

Wskazówki zawierają katalog dwunastu kryteriów/operacji przetwarzania, w których – w ocenie organu nadzorczego – może wystąpić wysokie ryzyko naruszenia praw lub wolności. Lista ta stanowi odzwierciedlenie wykazu rodzajów operacji, które wiążą się z koniecznością przeprowadzenia DPIA (wykaz opublikowany przez Prezesa UODO w 2019 r.). Prezes UODO przypomina, że jeżeli dany proces spełnia dwa kryteria ze wskazanej listy, kwalifikuje się do przeprowadzenia DPIA. Wśród przypadków przetwarzania oznaczonych jako szczególnie ryzykowne wskazano m.in. automatyczne podejmowanie decyzji, przetwarzanie danych genetycznych czy przetwarzanie danych lokalizacyjnych.

Prezes UODO zwraca również uwagę, że tworzenie i wdrażanie systemów sztucznej inteligencji również może wiązać się z koniecznością przeprowadzenia DPIA. Wskazuje, że: „co do zasady można przyjąć, że przetwarzanie danych na potrzeby tworzenia i wdrażania systemów sztucznej inteligencji wysokiego ryzyka w rozumieniu Aktu w sprawie sztucznej inteligencji może z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym wymaga przeprowadzenia oceny skutków dla ochrony danych”.

Źródło: https://uodo.gov.pl/pl/598/3617

Kup Legalisa Księgowość Kadry Biznes online i uzyskaj natychmiastowy dostęp! Sprawdź

Zaloguj się do Legalis Księgowość Kadry Biznes

Organ nadzorczy publikuje wskazówki dotyczące DPIA

Redakcja poleca

Sztuczna inteligencja a ochrona danych – jak firmy produkcyjne i biura rachunkowe mogą unikać zagrożeń?

EROD przyjmuje oświadczenie w sprawie zasad dotyczących przetwarzania danych z uwzględnieniem wieku

Nie można przetwarzać danych ,,na wszelki wypadek” – nowy wyrok NSA

Powiązane kategorie

Bezpłatny dostęp

Wypróbuj Legalis Księgowość Kadry Biznes

Zaloguj się do Systemu Legalis