photo
31.03.2025

Kiedy trzeba przeprowadzić ocenę skutków dla ochrony danych?

Każdy administrator musi  przeprowadzić ocenę skutków dla ochrony danych, gdy planowane przez niego operacje przetwarzania mogą z dużym prawdopodobieństwem powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Prezentujemy wskazówki, jak rozumieć poszczególne sytuacje przetwarzania danych, które mogą prowadzić do naruszeń praw osób fizycznych. Podajemy przykłady operacji na danych, które wymagają oceny skutków dla ochrony danych. Prezentujemy również wytyczne Prezesa UODO oraz Europejskiej Rady Ochrony Danych, które pomogą zrozumieć omawiane zagadnienie. Dodatkowo poruszamy problematykę oceny skutków w kontekście systemów sztucznej inteligencji (AI).

Wprowadzenie

RODO nie wymaga przeprowadzenia oceny skutków dla ochrony danych w odniesieniu do każdej operacji przetwarzania, którą administrator planuje. Ocena ta jest obowiązkowa, jeżeli takie przetwarzanie ze względu na swój charakter, zakres, kontekst i cele – w szczególności, gdy ma być prowadzone z użyciem nowych technologii – z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych (art. 35 ust. 1 RODO). Administrator już na etapie projektowania danej operacji przetwarzania danych powinien dokonać analizy, czy podlega takiemu obowiązkowi tak, aby działania związane z oceną skutków dla ochrony danych zostały podjęte w
odpowiednim czasie.

Pamiętaj:

Administrator, przed rozpoczęciem przetwarzania danych osobowych, w
praktyce musi zawsze przeprowadzić wstępną ocenę, czy planowane operacje z dużym prawdopodobieństwem mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych.

Art. 35 ust. 3 RODO podaje przykłady operacji przetwarzania, które mogą powodować wysokie ryzyko dla praw i wolności osób fizycznych. Zgodnie z nim ocena skutków dla ochrony danych jest wymagana w szczególności w przypadku:

  1. systematycznej, kompleksowej oceny czynników osobowych odnoszących się do osób fizycznych, która opiera się na zautomatyzowanym przetwarzaniu, w tym profilowaniu, i jest podstawą decyzji wywołujących skutki prawne wobec osoby fizycznej lub w podobny sposób znacząco wpływających na osobę fizyczną;
  2. przetwarzania na dużą skalę szczególnych kategorii danych osobowych, o których mowa w art. 9 ust. 1, lub danych osobowych dotyczących wyroków skazujących i naruszeń prawa, o czym mowa w art. 10; lub
  3. systematycznego monitorowania na dużą skalę miejsc dostępnych publicznie.

Komunikat Prezesa UODO

Podane przykłady nie tworzą zamkniętej listy, a tym samym również inne operacje przetwarzania danych mogą powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych. Bardziej konkretne wskazówki zawierają wykazy rodzajów operacji przetwarzania podlegających wymogowi dokonania oceny skutków dla ochrony danych, które zgodnie z art. 35 ust. 4 RODO organy nadzorcze ustanawiają i podają do publicznej wiadomości. Taki wykaz stanowi załącznik do Komunikatu Prezesa Urzędu Ochrony Danych Osobowych z dnia 17 czerwca 2019 r. w sprawie wykazu rodzajów operacji przetwarzania danych osobowych wymagających oceny skutków przetwarzania dla ich ochrony. Komunikat został ogłoszony w Monitorze Polskim 8 lipca 2019 r. i jest udostępniony na stronie: http://monitorpolski.gov.pl/MP/2019/666.

Wykaz uzupełnia i konkretyzuje wytyczne Grupy Roboczej Art. 29 (WP 248)  „Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie >>może powodować wysokie ryzyko<< do celów rozporządzenia 2016/679”, które 25.05.2018 r. zostały zatwierdzone przez Europejską Radę Ochrony Danych (EROD). Wytyczne wprowadzają 9 kryteriów, które należy wziąć pod uwagę przy ocenie czy należy przeprowadzić ocenę skutków dla ochrony danych, i przyjmują, że co do zasady spełnienie dwóch wymaga jej przeprowadzenia[i].

Wykaz stanowiący załącznik do Komunikatu Prezesa UODO zawiera 12 kryteriów/rodzajów operacji przetwarzania wraz z przykładami operacji, w których może wystąpić wysokie ryzyko naruszenia praw lub wolności oraz przykładami potencjalnych obszarów obejmujących te operacje. Tymi kryteriami/operacjami przetwarzania są:

  1. Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych;
  2. Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki;
  3. Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie wykorzystujące elementy rozpoznawania cech lub właściwości obiektów, które znajdą się w monitorowanej przestrzeni. Do tej grupy systemów nie są zaliczane systemy monitoringu wizyjnego, w których obraz jest nagrywany i wykorzystywany tylko w przypadku potrzeby analizy incydentów naruszenia prawa;
  4. Przetwarzanie szczególnych kategorii danych osobowych i dotyczących wyroków skazujących i czynów zabronionych (danych wrażliwych według opinii WP 29);
  5. Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu;
  6. Przetwarzanie danych genetycznych;
  7. Dane przetwarzane na dużą skalę, gdzie pojęcie dużej skali dotyczy:
    • liczby osób, których dane są przetwarzane,
    • zakresu przetwarzania,
    • okresu przechowywania danych oraz
    • geograficznego zakresu przetwarzania
  1. Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł;
  2. Przetwarzanie danych dotyczących osób, których ocena i świadczone im usługi są uzależnione od podmiotów lub osób, które dysponują uprawnieniami nadzorczymi lub ocennymi;
  3. Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych;
  4. Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy;
  5. Przetwarzanie danych lokalizacyjnych.

Jak korzystać z wykazu operacji?

Co do zasady, przetwarzanie, które spełnia przynajmniej dwa ze wskazanych kryteriów/rodzajów operacji, będzie wymagać przeprowadzenia oceny skutków dla ochrony danych. Im więcej kryteriów spełnia przetwarzanie, tym bardziej prawdopodobne jest wystąpienie wysokiego ryzyka naruszenia praw lub wolności osób, których dane dotyczą, a w konsekwencji konieczne jest przeprowadzenie oceny skutków dla ochrony danych. Administrator może jednak uznać, że ze względu na swój charakter, zakres, kontekst i cele przetwarzanie spełniające tylko jedno z wymienionych kryteriów będzie wymagało przeprowadzenia oceny skutków dla ochrony danych.

Przykład:

Wdrożenie systemu monitorowania czasu pracy pracowników oraz przepływu informacji w wykorzystywanych przez nich narzędziach (poczty elektronicznej, Internetu) będzie wymagało przeprowadzenia oceny skutków dla ochrony danych ze względu na spełnienie kryterium 3 i 9 z wykazu.

Wykaz nie ma charakteru wyczerpującego. Dalsze wskazówki dla administratorów mogą zawierać kolejne wytyczne lub opinie EROD, a także decyzje, poradniki lub wyjaśnienia Prezesa UODO.

Przykłady:

EROD  wyjaśniła, że „biorąc pod uwagę typowe cele monitoringu wizyjnego (ochrona osób i mienia, wykrywanie przestępstw, zapobieganiem im oraz ich kontrola, gromadzenie materiału dowodowego i identyfikacja biometryczna podejrzanych), zasadne jest założenie, że w wielu przypadkach dotyczących monitoringu wizyjnego konieczne będzie przeprowadzenie oceny skutków dla ochrony danych”[ii].

EROD pokreśliła, że jest bardzo prawdopodobne, że usługi wirtualnych asystentów głosowych (VVA) mieszczą się w kategoriach i warunkach określonych jako wymagające przeprowadzenia oceny skutków dla ochrony danych[iii].

Obowiązek przeprowadzenia oceny skutków dla ochrony danych może również wprost wynikać z odrębnych przepisów prawa.

Przykład:

Art. 8 dyrektywy 2024/2831, zgodnie z którym przetwarzanie danych osobowych przez cyfrową platformę pracy za pomocą zautomatyzowanych systemów monitorujących lub zautomatyzowanych systemów decyzyjnych jest rodzajem przetwarzania, który z dużym prawdopodobieństwem może powodować wysokie ryzyko naruszenia praw i wolności osób fizycznych w rozumieniu art. 35 ust 1 RODO[iv].

Wątpliwości co do obowiązku przeprowadzenia oceny skutków dla ochrony danych

EROD zaleca, aby w razie wątpliwości czy ocena skutków dla ochrony danych jest obowiązkowa ją przeprowadzić[v]. Jest to bowiem instrument, który ułatwia administratorom przestrzeganie przepisów o ochronie danych osobowych. Wdrożenie skutecznej procedury oceny skutków dla ochrony danych pozwala nie tylko minimalizować ryzyka, ale także budować zaufanie osób, których dane są przetwarzane (m.in. może pozwolić na ocenę środków ułatwiających tym osobom korzystanie ze swoich praw, czy też ocenę zapewnienia przejrzystości przetwarzania danych osobowych). Z tego względu korzystne dla administratora może być przeprowadzenie oceny skutków dla ochrony danych również wtedy, gdy nie jest ona obowiązkowa (dobrowolna ocena skutków dla ochrony danych).

Pamiętaj:

Niezależnie od tego czy administrator jest obowiązany przeprowadzić ocenę skutków dla ochrony danych, czy też – ciąży na nim obowiązek dokonania właściwej oceny ryzyka i zarządzania ryzykiem związanym z przetwarzaniem przez niego danych osobowych.

Kto ma przeprowadzić ocenę skutków dla ochrony danych?

EROD zauważyła, że ocena skutków dla ochrony danych może być przydatna do oceny skutków wywieranych przez danych produkt technologiczny, jak sprzęt, czy oprogramowanie, który może być w różny sposób wykorzystywany przez administratorów do przetwarzania danych osobowych. Nie zwalnia to administratora wdrażającego ten produkt z obowiązku przeprowadzenia oceny skutków dla ochrony danych, lecz może mu ułatwić to zadanie dzięki uzyskanym od dostawcy informacjom. EROD podkreśliła, że w takiej sytuacji „każdy dostawca produktu lub podmiot przetwarzający powinien dzielić się przydatnymi informacjami bez ujawniania tajemnic i bez stwarzania zagrożeń dla bezpieczeństwa poprzez ujawnienie słabych stron”[vi].

Pamiętaj:

Obowiązek dokonania oceny skutków dla ochrony danych ciąży na administratorze. Nie może on scedować tego obowiązku na inspektora ochrony danych, lecz powinien się z nim w tym zakresie skonsultować.

Konsultacje z osobami, których dane dotyczą

Art. 35 ust. 9 RODO wymaga, aby administrator w stosownych przypadkach w sprawie zamierzonego przetwarzania zasięgał opinii osób, których dane dotyczą, lub ich przedstawicieli, bez uszczerbku dla ochrony interesów handlowych lub publicznych lub bezpieczeństwa operacji przetwarzania. Realizacja tego obowiązku może mieć szczególne znaczenie w kontekście tworzenia i wdrażania systemów sztucznej inteligencji (AI). Charakter związanych z nimi zagrożeń dla praw i wolności osób fizycznych może wymagać osadzenia planowanych operacji przetwarzania danych w szerszym kontekście społecznym.

AI a ryzyko naruszenia praw lub wolności osób fizycznych

W związku z dynamicznym rozwojem technologii, takich jak sztuczna inteligencja i ich zmieniających się zastosowań, ocena skutków dla ochrony danych staje się kluczowym elementem systemu ochrony danych osobowych.

Pamiętaj:

Akt w sprawie sztucznej inteligencji[vii] definiuje system AI jako „system maszynowy, który został zaprojektowany do działania z różnym poziomem autonomii po jego wdrożeniu oraz który może wykazywać zdolność adaptacji po jego wdrożeniu, a także który – na potrzeby wyraźnych lub dorozumianych celów – wnioskuje, jak generować na podstawie otrzymanych danych wejściowych wyniki, takie jak predykcje, treści, zalecenia lub decyzje, które mogą wpływać na środowisko fizyczne lub wirtualne” (art. 3 pkt 1).

Motyw 97 Aktu w sprawie sztucznej inteligencji odnosząc się do modeli AI wyjaśnia, że choć są one zasadniczymi elementami systemów AI, to same w sobie ich nie stanowią. Wymagałoby to bowiem dodania dodatkowych elementów, jak interfejs użytkownika. W konsekwencji, modele AI są zwykle zintegrowane z systemami AI, stanowiąc ich część składową. 

Na różnych etapach cyklu życia (tworzenia i wdrażania) systemów AI może dochodzić do przetwarzania danych osobowych.

Przykład:

EROD odpowiedziała na pytanie czy finalny model AI, który był uczony na danych osobowych, ma charakter anonimowy? EROD zauważyła, że niektóre modele AI są celowo zaprojektowane, aby dostarczać bądź w jakiś sposób umożliwiać dostęp do informacje o osobach, których dane osobowe zostały wykorzystane do szkolenia modelu. Takie modele AI będą z natury (i zazwyczaj koniecznie) zawierać informacje dotyczące zidentyfikowanej lub możliwej do zidentyfikowania osoby fizycznej, a zatem będą obejmować przetwarzanie danych osobowych. Dlatego nie można ich uznać za anonimowe. W opinii EROD nawet jeżeli model AI nie został celowo zaprojektowany do generowania takich informacji na podstawie danych szkoleniowych, lecz informacje dotyczące zidentyfikowanych lub możliwych do zidentyfikowania osób fizycznych, których dane osobowe zostały wykorzystane do wytrenowania modelu, można uzyskać z modelu AI za pomocą środków, których użycie jest racjonalnie prawdopodobne, to taki model nie jest anonimowy. W konsekwencji, modele AI szkolone na danych osobowych nie mogą we wszystkich przypadkach być uznawane za anonimowe. Ustalenie, czy model AI jest anonimowy, powinno być oceniane indywidualnie w każdym przypadku[viii]

W kolejnych fazach cyklu życia systemów AI może dochodzić do przetwarzania danych osobowych w różnorodnych celach i przy wykorzystaniu zróżnicowanych środków, co może rodzić odmienne zagrożenia dla osób, których dane dotyczą. W konsekwencji, na różnych etapach tworzenia lub wdrażania systemu AI może być konieczne przeprowadzenie oceny skutków dla ochrony danych. W takich sytuacjach administratorzy odpowiednio powinni ocenić czy planowane operacje przetwarzania danych spełniają kryteria wymienione w art. 35 ust. 3 RODO lub wykazie stanowiącym załącznik do Komunikatu Prezesa UODO. 

W fazie tworzenia systemów sztucznej inteligencji ważnym elementem jest stworzenie zbioru danych treningowych i jego dalsze wykorzystanie. Jeżeli ten zbiór ma zawierać dane osobowe, przy ocenie czy należy przeprowadzić ocenę skutków dla ochrony danych  w szczególności warto wziąć pod uwagę następujące kryteria z wykazu:

  • Przetwarzanie szczególnych kategorii danych osobowych w tym analizy „danych behawioralnych” oraz danych dotyczących wyroków skazujących i czynów zabronionych (4);
  • Przetwarzanie danych biometrycznych wyłącznie w celu identyfikacji osoby fizycznej bądź w celu kontroli dostępu (5);
  • Przetwarzanie danych genetycznych (6);
  • Dane przetwarzane na dużą skalę (7);
  • Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł (8);
  • Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (10).

Pamiętaj:
Konieczność przeprowadzenia oceny skutków dla ochrony danych osobowych należy również przeprowadzić, jeżeli stworzenie zbioru danych treningowych może istotnie wpływać na osoby fizyczne, w szczególności gdy przetwarzanie danych może prowadzić do dyskryminacji, gdy może dość do naruszenia bezpieczeństwa danych, czy niewłaściwego ich wykorzystania.

Podmioty stosujące systemy AI, oceniając konieczność przeprowadzenia oceny skutków dla ochrony danych, w szczególności powinny wziąć pod uwagę następujące kryteria:

  • Ewaluacja lub ocena, w tym profilowanie i przewidywanie (analiza behawioralna) w celach wywołujących negatywne skutki prawne, fizyczne, finansowe lub inne niedogodności dla osób fizycznych (1);
  • Zautomatyzowane podejmowanie decyzji wywołujących skutki prawne, finansowe lub podobne istotne skutki (2);
  • Systematyczne monitorowanie na dużą skalę miejsc dostępnych publicznie (3);
  • Dane przetwarzane na dużą skalę (7);
  • Przeprowadzanie porównań, ocena lub wnioskowanie na podstawie analizy danych pozyskanych z różnych źródeł (8);
  • Gdy przetwarzanie samo w sobie uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy (9);
  • Innowacyjne wykorzystanie lub zastosowanie rozwiązań technologicznych lub organizacyjnych (10).

Przykłady:

Ocena zdolności kredytowej, przy użyciu algorytmów sztucznej inteligencji, objęte obowiązkiem zachowania tajemnicy będzie wymagała przeprowadzenia oceny skutków dla ochrony danych ze względu na spełnienie kryteriów: 1, 2, 4, 8, 9, 11 z wykazu.

Systemy profilowania klientów usług przewozowych i dynamicznego ustalania cen w oparciu o profil  będą wymagały przeprowadzenia oceny skutków dla ochrony danych ze względu na spełnienie kryteriów: 1, 2, 10, 11, 12 z wykazu.

Systemy monitoringu wykorzystywane do zarządzania ruchem, umożliwiające szczegółowy nadzór nad kierowcą oraz jego zachowaniem na drodze, w szczególności systemy pozwalające na automatyczną identyfikację pojazdów będą wymagały przeprowadzenia oceny skutków dla ochrony danych ze względu na spełnienie kryteriów: 3 i 10 z wykazu.

Szpital kliniczny planuje wdrożyć narzędzie na sztucznej inteligencji wspierające diagnostykę obrazową, które rozpoznaje zmiany chorobowe oraz tworzy opisy badań. Planowane operacje przetwarzania danych będą wymagały przeprowadzenia oceny skutków dla ochrony danych ze względu na spełnienie kryteriów: 4, 7, 10 z wykazu.

Co do zasady można przyjąć, że przetwarzanie danych na potrzeby tworzenia i wdrażania systemów sztucznej inteligencji wysokiego ryzyka w rozumieniu Aktu w sprawie sztucznej inteligencji może z dużym prawdopodobieństwem  powodować wysokie ryzyko naruszenia praw lub wolności osób fizycznych, a tym samym wymaga przeprowadzenia oceny skutków dla ochrony danych.

Podmiot stosujący system sztucznej inteligencji wysokiego ryzyka przeprowadzając ocenę skutków dla ochrony danych będzie mógł wykorzystać informacje przekazane przez dostawcę takiego systemu zgodnie z art. 13 Aktu w sprawie sztucznej inteligencji[ix].

Dodatkowe informacje

Administratorzy danych powinni regularnie monitorować nowe wytyczne i interpretacje organów nadzorczych, w tym EROD, w celu odpowiedniego dostosowania swoich działań do wymogów obowiązujących przepisów. EROD pracuje nad zapewnieniem, aby przepisy RODO i Aktu w sprawie sztucznej inteligencji wpływające m.in. realizację obowiązków dotyczących przeprowadzenia oceny skutków dla ochrony danych były stosowane w spójny sposób.

W kontekście oceny skutków dla ochrony danych dodatkowo warto zapoznać się  z nagraniem Konferencji „Ocena ryzyka a ochrona danych osobowych”, które jest dostępne na stronie:  https://uodo.gov.pl/pl/138/3507.



[i] Są to:

  1. Ocena lub punktacja;
  2. Automatyczne podejmowanie decyzji o skutku prawnym lub podobnie znaczącym skutku;
  3. Systematyczne monitorowanie;
  4. Dane wrażliwe lub dane o charakterze wysoce osobistym;
  5. Dane przetwarzane na dużą skalę;
  6. Dopasowywanie lub łączenie zbiorów danych;
  7. Dane dotyczące osób wymagających szczególnej opieki, których dane dotyczą;
  8. Innowacyjne wykorzystanie lub stosowanie nowych rozwiązań technologicznych lub organizacyjnych;
  9. Gdy samo przetwarzanie „uniemożliwia osobom, których dane dotyczą, wykonywanie prawa lub korzystanie z usługi lub umowy.

[ii] Wytyczne 3/2019 w sprawie przetwarzania danych osobowych przez urządzenia wideo, Wersja 2.0 przyjęta 29 stycznia 2020 r., s. 37, https://www.edpb.europa.eu/sites/default/files/files/file1/edpb_guidelines_201903_video_devices_pl_0.pdf

[iii] „Obejmuje to rozważenie, czy urządzenie może służyć do obserwacji, monitorowania lub kontrolowania

osób, których dane dotyczą lub systematycznego monitorowania na dużą skalę zgodnie z art. 35 ust. 3 lit. c), użycia nowej technologii lub przetwarzania danych szczególnie chronionych i danych dotyczących szczególnie narażonych osób, której dane dotyczą”. - Wytyczne 02/2021 w sprawie wirtualnych asystentów głosowych Wersja 2.0 Przyjęta 7 lipca 2021 r., s. 35, https://www.edpb.europa.eu/system/files/2022-02/edpb_guidelines_202102_on_vva_v2.0_adopted_pl.pdf 

[iv] Dyrektywa Parlamentu Europejskiego i Rady (UE) 2024/2831 z dnia 23 października 2024 r. w sprawie poprawy warunków pracy za pośrednictwem platform, Dz. Urz. UE. L, 2024/2831, z 11.11.2024 r. Dyrektywa wymaga wdrożenia w krajowych systemach prawnych do 2.12.2026 r.

[v] Wytyczne dotyczące oceny skutków dla ochrony danych oraz pomagające ustalić, czy przetwarzanie >>może powodować wysokie ryzyko<< do celów rozporządzenia 2016/679, s. .9

[vi] Tamże.

[vii] Rozporządzenie Parlamentu Europejskiego i Rady (UE) 2024/1689 z dnia 13 czerwca 2024 r. w sprawie ustanowienia zharmonizowanych przepisów dotyczących sztucznej inteligencji oraz zmiany rozporządzeń (WE) nr 300/2008, (UE) nr 167/2013, (UE) nr 168/2013, (UE) 2018/858, (UE) 2018/1139 i (UE) 2019/2144 oraz dyrektyw 2014/90/UE, (UE) 2016/797 i (UE) 2020/1828 (akt w sprawie sztucznej inteligencji), Dz. Urz. UE L, 2024/1689, 12.7.2024>

[viii] Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models Adopted on 17 December 2024, s.11-14,  https://www.edpb.europa.eu/system/files/2024-12/edpb_opinion_202428_ai-models_en.pdf

[ix] Art. 13 Aktu w sprawie sztucznej inteligencji dotyczący przejrzystości i udostępnianie informacji podmiotom stosującym będzie podlegał bezpośredniemu stosowaniu od 2.08.2026 r.

Podmiot udostępniający: Departament Komunikacji Społecznej
Wytworzył informację:
user Karol Witowski
date 2025-03-31
Wprowadził informację:
user Łukasz Kuligowski
date 2025-03-31 12:03:22
Ostatnio modyfikował:
user Łukasz Kuligowski
date 2025-03-31 15:02:24