Definicja
DPIA (Data Protection Impact Assessment) to formalna analiza ryzyka wymagana przez Art. 35 RODO, przeprowadzana gdy przetwarzanie danych osobowych może powodować wysokie ryzyko dla praw i wolności osób.
Kiedy DPIA jest obowiązkowa?
| Sytuacja | Przykład |
|---|---|
| Profilowanie z skutkami prawnymi | Scoring kredytowy, automatyczne odrzucanie wniosków |
| Przetwarzanie na dużą skalę danych wrażliwych | Dane medyczne, biometryczne |
| Monitorowanie przestrzeni publicznej | Kamery CCTV, rozpoznawanie twarzy |
| Nowe technologie | AI/ML w decyzjach o ludziach |
| Łączenie zbiorów danych | Korelacja danych z różnych źródeł |
Elementy DPIA
| Element | Opis |
|---|---|
| Opis przetwarzania | Co, po co, jakie dane, jak długo |
| Ocena konieczności | Czy przetwarzanie jest proporcjonalne do celu? |
| Ocena ryzyka | Prawdopodobieństwo × Skutek |
| Środki mitygacji | Szyfrowanie, pseudonimizacja, ograniczenie dostępu |
| Konsultacja z IOD | Inspektor Ochrony Danych opiniuje |
Rola BA w DPIA
BA jest kluczowy, bo zna przepływy danych w systemie: - Jakie dane osobowe system przetwarza? - Kto ma do nich dostęp? - Jak długo są przechowywane? - Jakie są transfery danych między systemami?
Dlaczego to ważne?
Brak DPIA gdy jest wymagana = kara do 10 mln EUR lub 2% obrotu (RODO Art. 83). BA pomaga zidentyfikować, kiedy DPIA jest potrzebna.