W sierpniu 2025 r. Urząd Ochrony Danych Osobowych opublikował zaktualizowane wytyczne dotyczące obowiązku przeprowadzania oceny skutków dla ochrony danych (DPIA). Dokument zawiera praktyczne wskazówki dla administratorów danych, kiedy i jak należy przeprowadzać DPIA, szczególnie w kontekście wdrażania nowych technologii, takich jak sztuczna inteligencja czy systemy monitoringu. UODO podkreśla, że DPIA nie jest jedynie obowiązkiem formalnym, lecz narzędziem zarządzania ryzykiem i ochrony praw osób fizycznych.
Wytyczne zawierają listę 12 typów operacji przetwarzania, które mogą powodować wysokie ryzyko naruszenia praw i wolności osób:
- Zautomatyzowane podejmowanie decyzji, w tym profilowanie.
- Przetwarzanie danych biometrycznych w celu jednoznacznej identyfikacji osoby fizycznej.
- Przetwarzanie danych genetycznych.
- Przetwarzanie danych dotyczących zdrowia.
- Przetwarzanie danych dotyczących seksualności lub orientacji seksualnej.
- Przetwarzanie danych dotyczących pochodzenia rasowego lub etnicznego.
- Przetwarzanie danych dotyczących przekonań religijnych lub światopoglądowych.
- Systematyczne monitorowanie miejsc dostępnych publicznie.
- Przetwarzanie danych osób podatnych na szczególne ryzyko (np. dzieci, osoby starsze).
- Przetwarzanie danych na dużą skalę.
- Innowacyjne wykorzystanie nowych technologii lub rozwiązań organizacyjnych.
- Przetwarzanie danych, które mogą skutkować wykluczeniem społecznym lub dyskryminacją.
UODO zaleca, aby DPIA była przeprowadzana nie tylko w przypadkach obowiązkowych, ale również jako dobra praktyka przy wdrażaniu nowych systemów informatycznych lub usług cyfrowych.
Autor: Piotr Głownia