Wprowadzenie
RODO, czyli rozporządzenie Parlamentu Europejskiego i Rady (UE) 2016/679, zrewolucjonizowało podejście do ochrony danych osobowych w krajach Unii Europejskiej, w tym w Polsce. Jednym z najważniejszych narzędzi służących zapewnieniu bezpieczeństwa przetwarzania danych jest ocena skutków dla ochrony danych osobowych (ang. Data Protection Impact Assessment, DPIA), uregulowana w art. 35 RODO. W praktyce szczególne znaczenie ma ustęp 7 tego artykułu, który określa elementy, jakie powinna zawierać ocena skutków. Przepis ten często jest źródłem wątpliwości zarówno dla administratorów danych, jak i inspektorów ochrony danych.
Art. 35 ust. 7 RODO – treść przepisu
Art. 35 ust. 7 RODO stanowi:
„Ocena (skutków dla ochrony danych) zawiera co najmniej:
a) systematyczny opis planowanych operacji przetwarzania i celów przetwarzania, w tym, gdy ma to zastosowanie – prawnie uzasadnionych interesów realizowanych przez administratora;
b) ocenę, czy operacje przetwarzania są niezbędne oraz proporcjonalne w stosunku do celów;
c) ocenę ryzyka naruszenia praw lub wolności osób, których dane dotyczą, o którym mowa w ust. 1; oraz
d) środki planowane w celu zaradzenia ryzyku, w tym zabezpieczenia oraz środki i mechanizmy bezpieczeństwa mające zapewnić ochronę danych osobowych i wykazać przestrzeganie niniejszego rozporządzenia, z uwzględnieniem praw i prawnie uzasadnionych interesów osób, których dane dotyczą, i innych osób, których sprawa dotyczy.
Kiedy stosuje się art. 35 ust. 7 RODO?
Zgodnie z RODO, przeprowadzenie oceny skutków dla ochrony danych jest obowiązkowe w przypadku, gdy dany rodzaj przetwarzania – szczególnie przy użyciu nowych technologii – ze względu na swój charakter, zakres, kontekst i cele może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Przykładami takich operacji są:
- monitorowanie na dużą skalę (np. monitoring wizyjny w miejscach publicznych),
- przetwarzanie danych wrażliwych na dużą skalę (np. dane zdrowotne w placówkach medycznych),
- automatyczne profilowanie klientów.
Systematyczny opis operacji przetwarzania i celów – praktyczne aspekty
Pierwszym krokiem w ramach art. 35 ust. 7 RODO jest szczegółowy opis wszystkich operacji przetwarzania danych osobowych objętych planowanym projektem lub procedurą. Należy wskazać:
- jakie dane będą przetwarzane (np. imię, nazwisko, PESEL, dane medyczne),
- kto będzie miał do nich dostęp (pracownicy, zewnętrzne podmioty przetwarzające),
- w jaki sposób dane będą zbierane, przechowywane, udostępniane oraz usuwane,
- jakie są cele przetwarzania danych (np. realizacja usług medycznych, prowadzenie marketingu).
Cel przetwarzania powinien być jasno określony, zgodnie z zasadą minimalizacji danych i ograniczenia celu (art. 5 RODO).
Ocena niezbędności i proporcjonalności
Kolejnym wymaganym elementem DPIA jest ocena, czy przetwarzanie danych jest rzeczywiście niezbędne do realizacji wskazanych celów oraz czy wybrane rozwiązania nie są nadmiernie ingerujące w prywatność. Na przykład:
- Czy monitoring obejmuje wyłącznie niezbędne strefy?
- Czy przetwarzane są tylko te dane, które są konieczne dla danej usługi?
Ocena ryzyka naruszenia praw i wolności
W ramach oceny skutków należy wskazać potencjalne zagrożenia, jakie mogą pojawić się w związku z przetwarzaniem danych, takie jak:
- wyciek danych,
- nieuprawniony dostęp,
- przypadkowa utrata danych.
Następnie należy ocenić prawdopodobieństwo wystąpienia danego ryzyka oraz potencjalne konsekwencje dla osób, których dane dotyczą.
Środki zaradcze – zabezpieczenia i mechanizmy zgodności
Art. 35 ust. 7 lit. d RODO zobowiązuje administratora do opisania środków technicznych i organizacyjnych, które będą zastosowane w celu ograniczenia ryzyka. Przykłady takich środków to:
- szyfrowanie danych,
- ograniczenie dostępu na zasadzie need-to-know,
- regularne szkolenia personelu,
- wdrożenie polityk bezpieczeństwa informacji.
Środki te muszą być dostosowane do rodzaju i zakresu ryzyka związanego z danym przetwarzaniem.
Konsultacje z organem nadzorczym (art. 36 RODO)
Jeżeli z oceny skutków wynika, że ryzyko naruszenia praw lub wolności osób jest wysokie, a administrator nie może go odpowiednio zminimalizować, zobowiązany jest skonsultować się z organem nadzorczym (w Polsce: Prezes Urzędu Ochrony Danych Osobowych – PUODO) przed rozpoczęciem przetwarzania.
Przykłady zastosowania art. 35 ust. 7 RODO w praktyce
Przykład 1: Przychodnia medyczna
Przychodnia wdraża nowy system elektronicznej dokumentacji medycznej. W ramach oceny skutków należy opisać, jakie dane będą przetwarzane (np. historia choroby, wyniki badań), kto będzie miał dostęp do systemu, a także jakie zabezpieczenia zostaną wdrożone, by zminimalizować ryzyko naruszenia danych (np. szyfrowanie, autoryzacja użytkowników).
Przykład 2: Monitoring miejski
Miasto planuje rozszerzenie monitoringu w przestrzeni publicznej. Konieczne jest przeprowadzenie DPIA, opisanie operacji przetwarzania (rejestracja obrazu w miejscach publicznych), określenie celów (zapewnienie bezpieczeństwa), ocena wpływu na prywatność mieszkańców oraz wskazanie środków ograniczających ryzyko (np. ograniczenie czasu przechowywania nagrań).
Przykład naruszenia art. 35 ust. 7 RODO – decyzja Prezesa UODO z 18 grudnia 2024 r.
W dniu 18 grudnia 2024 r. Prezes Urzędu Ochrony Danych Osobowych wydał decyzję nakładającą administracyjną karę pieniężną na spółkę C. S.A. za naruszenie obowiązków wynikających z art. 35 ust. 7 RODO, związanych z oceną skutków dla ochrony danych osobowych (DPIA). Spółka, przetwarzając dane osobowe swoich klientów w celu profilowania oraz oceny ich zdolności kredytowej, nie przeprowadziła prawidłowej i odrębnej oceny skutków dla ochrony danych zgodnie z wymaganiami RODO.
W toku postępowania wykazano, że ocena skutków dla ochrony danych nie zawierała szczegółowego, systematycznego opisu operacji profilowania ani kompleksowej analizy ryzyka naruszenia praw i wolności osób, których dane dotyczą. Spółka nie wskazała również środków technicznych i organizacyjnych wdrożonych w celu minimalizacji ryzyka, co stanowi kluczowy element wymagany przez art. 35 ust. 7 RODO. Dodatkowo profilowanie nie zostało w sposób wyraźny ujęte w rejestrze czynności przetwarzania danych osobowych, co naruszało zasadę rzetelności i przejrzystości dokumentacji.
Prezes UODO podkreślił, że profilowanie w sektorze finansowym jest operacją przetwarzania wiążącą się z wysokim ryzykiem dla ochrony danych osobowych oraz praw i wolności osób, których dane dotyczą. W takich przypadkach administrator danych ma bezwzględny obowiązek sporządzenia szczegółowej oceny skutków dla ochrony danych (DPIA) zgodnie z art. 35 ust. 7 RODO, obejmującej zarówno opis operacji, jak i analizę ryzyka oraz planowane środki zaradcze. Zaniedbanie tych obowiązków zostało uznane za poważne naruszenie przepisów RODO i skutkowało nałożeniem kary pieniężnej w wysokości przekraczającej 314 tys. zł.
Decyzja ta stanowi ważne ostrzeżenie dla wszystkich administratorów danych osobowych, że brak rzetelnej oceny skutków dla ochrony danych oraz nieaktualna dokumentacja procesów przetwarzania mogą prowadzić do poważnych konsekwencji prawnych i finansowych. Każda organizacja przetwarzająca dane w sposób wiążący się z wysokim ryzykiem – zwłaszcza w zakresie profilowania lub automatycznego podejmowania decyzji – powinna przykładać szczególną wagę do realizacji obowiązków wynikających z art. 35 ust. 7 RODO oraz regularnie aktualizować swoje wewnętrzne procedury i rejestry
Najczęstsze błędy przy sporządzaniu DPIA
- Opis operacji przetwarzania jest zbyt ogólny i nie pozwala zidentyfikować realnych zagrożeń.
- Brak oceny niezbędności i proporcjonalności – administratorzy często pomijają pytanie „czy przetwarzanie jest rzeczywiście konieczne?”
- Niedostateczne określenie ryzyk – ocena ogranicza się do ogólnych stwierdzeń, bez analizy prawdopodobieństwa i skutków.
- Nieadekwatne lub zbyt ogólne środki zaradcze.
Skutki naruszenia obowiązków z art. 35 ust. 7 RODO
Niezrealizowanie obowiązków wynikających z art. 35 ust. 7 RODO może skutkować:
- wydaniem przez organ nadzorczy decyzji nakazującej wdrożenie odpowiednich środków,
- nałożeniem administracyjnych kar pieniężnych (do 10 mln euro lub 2% rocznego światowego obrotu przedsiębiorstwa – art. 83 ust. 4 RODO),
- odpowiedzialnością cywilną za naruszenie praw osób, których dane dotyczą.
FAQ – najczęstsze pytania dotyczące art. 35 ust. 7 RODO
Czy ocena skutków dla ochrony danych musi być sporządzona w każdej organizacji?
Nie. DPIA jest wymagana tylko w przypadku, gdy przetwarzanie może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Jednak dla wielu branż, zwłaszcza w sektorze zdrowia, finansów czy nowych technologii, przeprowadzenie DPIA jest standardem.
Czy można korzystać z gotowych wzorów DPIA?
Tak, ale każdy przypadek wymaga indywidualnego podejścia i dopasowania oceny do specyfiki działalności.
Kto powinien sporządzać ocenę skutków?
Za wykonanie DPIA odpowiada administrator danych, choć może on powierzyć to zadanie wykwalifikowanemu inspektorowi ochrony danych lub zewnętrznemu specjaliście.
Czy DPIA trzeba aktualizować?
Tak, w przypadku zmiany okoliczności (np. wdrożenie nowych technologii, zmiana celu przetwarzania) ocena skutków powinna być zaktualizowana.
Jak długo należy przechowywać dokumentację DPIA?
RODO nie określa konkretnego terminu, ale należy ją przechowywać tak długo, jak przetwarzane są dane, których ocena dotyczy, oraz przez okres wymagany przez przepisy o odpowiedzialności administracyjnej.
Podsumowanie
Art. 35 ust. 7 RODO stanowi jeden z filarów systemu ochrony danych osobowych, nakładając na administratorów obowiązek szczegółowej analizy wpływu planowanych operacji przetwarzania na prawa i wolności osób fizycznych.
Praktyczne stosowanie tego przepisu pozwala nie tylko ograniczyć ryzyko naruszeń, ale także zwiększa zaufanie klientów i partnerów biznesowych.
W dobie rosnącego znaczenia danych osobowych, właściwe wdrożenie oceny skutków dla ochrony danych staje się nie tylko obowiązkiem prawnym, ale i biznesowym standardem.
Kancelaria Radcy Prawnego dr Tymoteusz Zych świadczy kompleksowe usługi prawne w zakresie ochrony danych osobowych, w tym doradztwo przy wdrażaniu RODO oraz przygotowywaniu ocen skutków dla ochrony danych.
Wspieramy także podmioty lecznicze i przedsiębiorców na każdym etapie prowadzenia działalności.
Zapraszamy do kontaktu pod numerem telefonu: +48 726 003 505.
